Een kritieke kwetsbaarheid in een beveiligingstool van Microsoft om phishingaanvallen te simuleren, maakte het mogelijk om echte aanvallen op te zetten. Het duurde bijna een jaar om de kwetsbaarheid op te lossen.
Het trainen van personeel is een belangrijk onderdeel van cybersecurity. Er bestaan daarom allerhande tools waarmee je de reflexen van werknemers kan testen en bijspijkeren zonder mogelijk onomkeerbare gevolgen voor je bedrijf. Ook Microsoft heeft met Attack simulation training een tool in het 365-aanbod waarmee via Outlook phishingsmails kunnen gestuurd worden naar werknemers. Die zijn gelukkig niet echt, maar een kwetsbaarheid in de tool had daar verandering in kunnen brengen.
Begin 2023 kwam de Nederlandse cyberbeveiligingsexpert Vaisha Bernard, werkzaam bij Eye Security, iets vreemd op het spoor in de tool. Hij testte de tool uit en ontdekte een template dat je doorstuurt naar een webpagina die Atlassian Confluence nabootst. Bernard registreerde de pagina op zijn naam.
Niet-geregistreerde domeinen
Slechts enkele dagen later ontving Bernard toegangsverzoeken van mensen wereldwijd tot de op zijn naam geregistreerde pagina. Dit leidde tot de ontdekking van twee grote problemen in de phisingsimulatietool. De sjablonen bevatten links naar niet-geregistreerde pagina’s en domeinen, en de e-mailadressen die Microsoft gebruikte voor de phishing simulaties waren eveneens gekoppeld aan niet-geregistreerde domeinen.
Bernard lichtte Microsoft onmiddellijk in van zijn ontdekking. Voor slechts tien dollar kunnen de domeinen geregistreerd worden, ook door mensen met minder goede bedoelingen. De kwetsbaarheid maakte het in andere woorden dus mogelijk om de phisingsimulator net te gebruiken om phishingaanvallen op te zetten, het tegenovergestelde waarvoor het bedoeld is. Er zullen altijd wel mensen zijn die op een link klikken. Uiteindelijk duurde het tot begin november vooraleer het probleem helemaal opgelost geraakte.
Eind goed, al goed
In een reactie aan BNR Nieuwsradio, waar Bernard zijn verhaal eerder al deelde, benadrukt Microsoft dat er geen aanwijzingen zijn voor misbruik door kwaadwilligen actoren. Als een crimineel de kwetsbaarheid echter sneller had ontdekt dan Bernard, dan hadden potentieel duizenden mensen kunnen worden blootgesteld aan phishingaanvallen.
Volgens de Nederlandse expert kan er een duidelijke les uit het voorval worden geleerd. “In een breder perspectief laat het zien dat preventieve maatregelen – zoals bewustzijnstraining, endpoint- en cloudsecurity – slechts de eerste verdedigingslinie zijn. Je moet ervan uitgaan dat je wordt gehackt, dus zorg ervoor dat je cyberaanvallen snel detecteert en hier adequaat op kan reageren.”