Algemeen
Attic beschermt op twee manieren de Microsoft 365 tegen Adversary-in-the-Middle (AiTM) aanvallen, gebruikmakend van het platform van didsomeoneclone.me
Rationale
AiTM wordt als techniek door aanvallers vooral ingezet om multi-factor authenticatie (MFA) te omzeilen. Het slachtoffer wordt verleid om een kwaadaardige URL te bezoeken, alwaar een real-time clone van de legitieme Microsoft login pagina wordt getoond. De clone acteert als doorgeefluik voor informatie tussen Microsoft en slachtoffer en vice versa, waarbij onderweg de ingevulde data door de aanvaller kan worden gekopieerd. Na succesvolle authenticatie kan de aanvaller de ingelogde sessie kopieren en zo de identiteit van de medewerker in kwestie overnemen.
Meerdere checks
Deze functionaliteit wordt geïnstalleerd met behulp van 2 losstaande checks:
-
CHK-1102 - Controleert of clone detectie is ingeschakeld. Een Attic alarm voor deze Check zal afgaan als deze detectie nog niet is geinstalleerd. Installatie van clone detectie zal leiden tot een alarm aan de Attic beheerder(s) via CHK-1158 indien een medewerker een clone van de Microsoft login pagina bezoekt.
- CHK-1103 - Controleert of clone mitigatie is ingeschakeld. Een Attic alarm voor deze Check zal afgaan als mitigatie nog niet is geïnstalleerd. Installatie van clone mitigatie zal de bezoeker van een clone een zichtbare waarschuwing laten zien met het dringende advies geen wachtwoord in te vullen.
CHK-1103 - Clone Mitigatie is een premium functie: alleen gebruikers van Attic voor Microsoft 365 Premium kunnen er gebruik van maken.
Attic Fix
Voor beide checks is een fix beschikbaar! Deze zullen via tickets in Attic worden aangeboden waarna u kunt accepteren.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.