Microsoft waarschuwt voor toename van password spraying als aanvalsvector

[Captain Kirk]

Het afgelopen jaar kende een toename van password spraying als aanvalsvector, organisaties doen er dan ook verstandig aan om zich hier tegen te beschermen, zo waarschuwt Microsoft. Onlangs liet het techbedrijf weten dat onder andere de Russische geheime dienst SVR van deze techniek gebruikmaakt.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.

Volgens Microsoft zijn vaak applicaties het doelwit die onbeveiligd zijn en van legacy authenticatieprotocollen gebruikmaken en geen multifactorauthenticatie ondersteunen. Recentelijk richten aanvallers zich ook op applicaties die van de REST API gebruikmaken. Onder andere Exchange ActiveSync, IMAP, POP3, SMTP Auth en Exchange Autodiscover zijn het doelwit. Verder meldt Microsoft dat het een toename ziet van password spraying-aanvallen op accounts van cloudbeheerders.

Organisaties kunnen verschillende maatregelen nemen om password spraying tegen te gaan, zoals het gebruik van multifactorauthenticatie en het uitschakelen van legacy authenticatie. Verder pleit Microsoft voor het evalueren van het wachtwoordbeleid. "De toekomst is een wereld zonder wachtwoorden omdat het te vaak voorkomt dat mensen ze tussen applicaties hergebruiken of eenvoudig te ontdekken wachtwoorden kiezen", zo stelt het techbedrijf.

Aangezien beheerdersaccounts de "keys to the kingdom" zijn adviseert Microsoft om die extra te beveiligen. Zo zouden ze "cloud-only" moeten zijn en niet vanuit de Active Directory gesynchroniseerd moeten worden. Verder dient multifactorauthenticatie voor dergelijke accounts verplicht te zijn en is het nodig om accounts aan te maken waarmee in het geval van noodsituaties toegang kan worden verkregen.

 

 

bron: https://www.security.nl