Algemeen
Deze regels (RULE-1159 en RULE-1160) detecteren wanneer een beheerder met hoge rechten (tier0) een self-service password reset (SSPR) operatie start. RULE-1159 monitort permanente beheerders, terwijl RULE-1160 ook gebruikers monitort die via Privileged Identity Management (PIM) beheerdersrechten kunnen activeren.
Rationale
Self-service password reset is een legitieme functie die gebruikers in staat stelt hun eigen wachtwoord te resetten zonder hulp van de helpdesk. Het is op zich normaal dat ook beheerders deze functie gebruiken wanneer ze hun wachtwoord vergeten zijn of om andere redenen hun wachtwoord moeten resetten. Echter, voor beheerders met hoge rechten (tier0) is extra aandacht geboden omdat een gecompromitteerd tier0 account kan leiden tot volledige compromittering van de organisatie.
Aanvallers die toegang hebben gekregen tot een beheerderaccount kunnen SSPR misbruiken om hun toegang te behouden en uit te breiden. Door het wachtwoord te resetten via SSPR kunnen ze hun eigen wachtwoord instellen zonder dat dit opvalt via normale wachtwoordwijzigingen die door beheerders worden uitgevoerd. Daarnaast kan SSPR worden gebruikt als onderdeel van een brute force aanval (zie ook: MITRE ATT&CK T1110 - Brute Force) of als account manipulation techniek (zie ook: MITRE ATT&CK T1098 - Account Manipulation).
Omdat tier0 beheerders de sleutels tot het koninkrijk hebben - volledige controle over Entra ID, Exchange, SharePoint, en alle andere kritieke systemen - is het cruciaal om elke SSPR activiteit van deze accounts te valideren. Een gecompromitteerd tier0 account kan worden gebruikt voor data exfiltratie, het installeren van backdoors, privilege escalation, en het compromitteren van andere accounts binnen de organisatie.
Opvolging
Voer deze stappen uit om deze detectie adequaat op te volgen:
- Neem direct contact op met de beheerder in kwestie om te valideren of de SSPR operatie bewust is gestart.
-
Zo nee: beschouw het account als gecompromitteerd en voer onmiddellijke containment uit:
- Disable het beheerderaccount onmiddellijk
- Trek alle actieve sessies in van het account (revoke sessions)
- Reset het wachtwoord van het account via een beveiligd kanaal (niet via SSPR)
- Onderzoek het IP-adres en de locatie van waaruit de SSPR operatie is gestart:
- Is dit een bekende locatie voor deze beheerder?
- Komt het IP-adres overeen met eerdere login locaties?
- Is er sprake van impossible travel (login vanaf twee ver uit elkaar gelegen locaties binnen korte tijd)?
- Onderzoek alle activiteiten van het account sinds de SSPR operatie:
- Zijn er nieuwe gebruikers of groepen aangemaakt?
- Zijn er rechten toegekend aan andere accounts?
- Zijn er nieuwe applicatie registraties of service principals aangemaakt?
- Zijn er wijzigingen in Conditional Access policies of MFA instellingen?
- Is er data geëxporteerd of gedeeld met externe partijen?
- Zijn er wijzigingen in mailbox forwarding rules of inbox rules?
- Zijn er nieuwe Azure resources aangemaakt?
- Controleer de SSPR authentication methods van het account - zijn deze gewijzigd door de aanvaller?
-
Zo nee: beschouw het account als gecompromitteerd en voer onmiddellijke containment uit:
Attic FIX
Een fix zal worden aangeboden om het beheerderaccount te disablen, nadat u heeft gevalideerd dat dit kwaadaardig gedrag betreft. Voor het vervolgonderzoek kunt u contact opnemen, daarbij kan Attic ondersteunen via onze IR Strippenkaart.
Verschil tussen RULE-1159 en RULE-1160
Deze detectie bestaat uit twee regels vanwege verschillende admin configuraties:
- RULE-1159: Monitort permanente beheerders - gebruikers die permanent beheerdersrollen toegewezen hebben gekregen (CHK1105_admins lijst)
- RULE-1160: Monitort PIM-eligible beheerders - gebruikers die via Privileged Identity Management beheerdersrollen kunnen activeren wanneer nodig (CHK1106_pimadmins lijst). Deze regel vereist Azure AD Premium P1 of P2.
De reden voor twee regels is dat organisaties verschillende admin modellen kunnen hanteren. Sommige hebben permanente admins, andere gebruiken alleen PIM, en weer andere hebben een mix. Door beide te monitoren, wordt volledige dekking bereikt ongeacht het gekozen model.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.