Multifactorverificatie Microsoft blijkt niet waterdicht te zijn

multifactorbeveiliging

Wanneer slecht uitgevoerd, maakt de multifactorverificatie in Microsoft Azure je accounts juist zeer kwetsbaar voor hackers, blijkt uit een onderzoek van Mandiant.

Multifactorverificatie is vandaag de dag een gangbare praktijk voor het beveiligen van online accounts. Het principe van multifactorbeveiliging is kortweg dat je elke inlogpoging via een ander medium dient te bevestigen. Die notificaties kunnen soms vervelend zijn, maar het geeft je wel een stok achter de deur wanneer een persoon met slechte bedoelingen jouw inloggegevens weet te bemachtigen. Het Amerikaanse cybersecuritybedrijf Mandiant heeft een zwakte blootgelegd in de multifactorverificatie van Microsoft die hackers in staat stelt aan die extra controle te ontsnappen.

Die zwakte is een direct gevolg van de manier waarop multifactorbeveiliging wordt uitgevoerd in het Microsoft Azure-ecosysteem. Sinds juni staat 2FA standaard ingesteld voor alle Azure AD-gebruikers. Maar bij Microsoft geldt de regel ‘Wie het eerst komt, het eerst maalt’. Na de eerste inlogpoging op een nieuw aangemaakt account, zal de gebruiker gevraagd worden om een telefoon of ander apparaat te registreren voor de multifactorverificatie.

Slapende accounts

In veel gevallen vormt dat geen probleem omdat die eerste inlogpoging doorgaans snel genoeg volgt, maar op deze manier komen ‘slapende accounts’ in het vizier. Wanneer een gebruiker te lang zou wachten om een eerste keer in te loggen, loopt een organisatie het risico dat hackers de inloggegevens achterhalen en hun eigen apparaten registreren voor multifactorverificatie. Zo krijgen zij vrij spel tot het netwerk van hun slachtoffers terwijl de rechtmatige eigenaar geen toegang meer heeft tot het account.

Mandiant trekt niet zomaar aan de alarmbel. De onderzoekers van het bedrijf hebben ontdekt dat dit achterpoortje actief wordt uitgebuit door APT29, een Russische hackersgroep met vermeende linken met de inlichtingendienst van Moskou. Via dit achterpoortje konden ze zelfs binnendringen op netwerken die met een VPN-verbinding beveiligd waren.

Hoe multifactorbeveiliging effectief uitvoeren

Dit voorval toont aan dat zelfs multifactorbeveiliging maar zo veilig is als hoe je er mee omspringt. Mandiant raadt bedrijven dan ook aan om te controleren of alle accounts wel een apparaat voor multifactorverificatie hebben geregistreerd. Accounts die nog actief zijn maar niet langer meer gebruikt worden, doen meer kwaad dan goed aan de beveiliging. Andere veiligheidsmaatregelen zijn om de eerste aanmelding in een beveiligde omgeving te laten verlopen en te werken met tijdelijke inlogcodes wanneer een werknemer diens verificatiemiddel verliest.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.