Toon posts:

Office 365 account overnemen met 'legitieme' link

Pagina: 1
Acties:

woensdag 12 februari 2020 10:44

Acties:
  • 0 Henk 'm!
  • Emperor
  • Registratie: Oktober 2010
  • Laatst online: 10:01

Emperor

Topicstarter
Wij werden zojuist door een leverancier gemaild dat zijn account 'gehackt' is. Er is daarna door zijn account naar iedereen uit zijn adresboek (veel van onze gebruikers) een mail gestuurd voor nieuwe besmettingen.

Het gaat om een link naar een OneDrive bestand waarmee rechten worden gevraagd om het volledige account over te kunnen nemen.

meer te lezen op: https://dutchitchannel.nl...-office-account-over.html

Maar dan mijn vraag;
Ik wil controleren of er gebruikers zijn die hebben ingelogd (en niet enkel uitgaan van hun belofte). Hebben jullie een idee waar ik zou kunnen controleren of er rechten zijn uitgegeven aan zo'n 'nep' app?
We hebben een Office 365 tennant, Exchange Online (m365 abbonement)

woensdag 12 februari 2020 13:28

Acties:
  • +1 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

@Emperor kon Microsoft of één van zijn partners niet helpen?

Zou het helpen om je klanten aan te raden om te stoppen met het gebruik van Office365?

Maak je niet druk, dat doet de compressor maar

woensdag 12 februari 2020 15:13

Acties:
  • 0 Henk 'm!
  • hellknight
  • Registratie: Januari 2003
  • Laatst online: 17-06 21:08

hellknight

Medieval Nerd

afhankelijk van welke MS licenties je hebt zou je in Azure AD bij de user's login activity wat zaken moeten kunnen zien, en bij CloudAppSecurity

Your lack of planning is not my emergency

zondag 16 februari 2020 18:32

Acties:
  • 0 Henk 'm!
  • segil
  • Registratie: Januari 2003
  • Laatst online: 17-06 15:26

segil

@Emperor : bedoel je dat jouw gebruikers een mail hebben ontvangen om op een website de AD creds in te vullen (die van jullie gebruikers), om zogenaamd toegang te krijgen tot een Onedrive document, maar in werkelijkheid waarschijnlijk een phishing website is?

If so, dan nee, daar is geen logging over, aangezien de "logins" plaats vonden op de website van de aanvaller.

Of interpreteer ik jouw verhaal verkeerd?

[ Voor 4% gewijzigd door segil op 16-02-2020 18:33 ]

zondag 16 februari 2020 19:04

Acties:
  • 0 Henk 'm!
  • Emperor
  • Registratie: Oktober 2010
  • Laatst online: 10:01

Emperor

Topicstarter
segil schreef op zondag 16 februari 2020 @ 18:32:
@Emperor : bedoel je dat jouw gebruikers een mail hebben ontvangen om op een website de AD creds in te vullen (die van jullie gebruikers), om zogenaamd toegang te krijgen tot een Onedrive document, maar in werkelijkheid waarschijnlijk een phishing website is?

If so, dan nee, daar is geen logging over, aangezien de "logins" plaats vonden op de website van de aanvaller.

Of interpreteer ik jouw verhaal verkeerd?
Wat ik begrijp van het nieuwsartikel, en zelf de link beoordelend krijg je een mail met een legitieme OneDrive koppeling naar een bestand.
Als je daar bent is er een Office365 app die de gebruiker vraagt om volledig beheer over zijn account aan die app te geven.
Zodra het volledig beheer aan die app is gegeven wordt er een mail naar alle leden in het adresboek gestuurd en herhaalt alles zich.

Ik hoopte ergens in office 365 te zien of gebruikers rechten aan zo een app hadden gegeven, maar kan niet goed vinden waar het zou moeten staan. Ik verwacht ik het Azure AD, maar zie niet iets waardoor ik kan uitsluiten dan sommige gebruikers door hebben geklikt.

Verduidelijkt dit het enigsinds?

zondag 16 februari 2020 19:50

Acties:
  • 0 Henk 'm!
  • hellknight
  • Registratie: Januari 2003
  • Laatst online: 17-06 21:08

hellknight

Medieval Nerd

zoals aangeven kun je inzicht krijgen in de rechten welke je gebruikers op hun O365 account gegeven hebben aan diverse app via MS CloudApp Security, mits jullie hier de licentie voor hebben. Deze signaleert ook wanneer er rechten gegeven zijn aan waarschijnlijk malafide apps.

Your lack of planning is not my emergency

zondag 16 februari 2020 20:01

Acties:
  • 0 Henk 'm!
  • ViperXL
  • Registratie: Oktober 2005
  • Laatst online: 17-02 00:34

ViperXL

Volgens mij is er ook iets terug te vinden in het onderdeel Beveiliging en Compliance maar weet het niet 100% want kan het zo snel niet vinden.

zondag 16 februari 2020 21:16

Acties:
  • +1 Henk 'm!
  • segil
  • Registratie: Januari 2003
  • Laatst online: 17-06 15:26

segil

@Emperor Volgens mij wordt dat geregeld in het onderdeel App registrations in Azure AD.

Portal Azure -> Azure AD -> Enterprise applications - All applications (of anders App Registrations).

zondag 16 februari 2020 21:29

Acties:
  • 0 Henk 'm!
  • Emperor
  • Registratie: Oktober 2010
  • Laatst online: 10:01

Emperor

Topicstarter
Ik ga morgen weer verder zoeken. Bedankt voor de ideeën / zoekrichting.

zondag 16 februari 2020 21:37

Acties:
  • 0 Henk 'm!
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Voordat je op onderzoek gaat zou ik eerst even de Security langslopen en zorgen dat reguliere gebruikers geen admin rechten hebben in je Office365 Tennant. Maak desnoods speciale admin accounts aan welke geen licenties hebben toegewezen (dan betaal je er ook niet voor). Je wilt namelijk voorkomen dat je Tennant gehacked wordt doordat een medewerker te veel rechten heeft.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

zondag 16 februari 2020 21:38

Acties:
  • 0 Henk 'm!
  • Salvatore.NL
  • Registratie: Oktober 2006
  • Laatst online: 11:13

Salvatore.NL

Onder security and compliance bij threat management kun jij bij explorer de mail opzoeken die deze persoon heeft gestuurd en naar welke gebruikers.

Selecteer bovenaan all email voordat je gaat zoeken.
Hierna kun de mail verwijderen bij actions, kies dan voor hard delete.

In azure kun je risky sign ins bekijken.

Sei orbu, ceccu e sordu, e taci campi cent' anni in pace!

zondag 16 februari 2020 21:42

Acties:
  • 0 Henk 'm!
  • maratropa
  • Registratie: Maart 2000
  • Niet online

maratropa

als je pech hebt geeft een admin admin consent..

wat @segil zegt.

& onder "user settings" kun je user consent ook aan en uit zetten, ik neem aan dat als je dit uit zet dit verhaal ook alleen nog maar bij admins zou kunnen gebeuren, die hopelijk beter weten.

Grappig, ik was toevallig ook in /azure AD/enterprise apps/ bezig laatst en er bekroop me het gevoel dat dit wel een interessante aanvalsvector zou kunnen zijn.

@Emperor

Ook raar eigenlijk dat user consent niet standaard UIT staat, echt zo'n "security by default" faal imho. Ook staat voorzover ik weet "user assignment required" in de app's properties ook standaard UIT...(dus iedereen kan er standaard bij)

Hier voor 1 app admin consent alleen voor basic profile en inlogacties, user consent staat uit, user assignment required staat aan bij de app.

[ Voor 24% gewijzigd door maratropa op 16-02-2020 21:52 ]

specs

maandag 17 februari 2020 15:25

Acties:
  • 0 Henk 'm!
  • Emperor
  • Registratie: Oktober 2010
  • Laatst online: 10:01

Emperor

Topicstarter
Wim-Bart schreef op zondag 16 februari 2020 @ 21:37:
Voordat je op onderzoek gaat zou ik eerst even de Security langslopen en zorgen dat reguliere gebruikers geen admin rechten hebben in je Office365 Tennant. Maak desnoods speciale admin accounts aan welke geen licenties hebben toegewezen (dan betaal je er ook niet voor). Je wilt namelijk voorkomen dat je Tennant gehacked wordt doordat een medewerker te veel rechten heeft.
Zo hebben wij onze omgeving inderdaad ingericht. Wij hebben geen gebruikers met beheerdersrechten in O365. Onze admins hebben voor overige taken ook seperate admin accounts alleen werkt dit in de praktijk niet alleen maar handig binnen O365 (SSO - incognito vensters - etc).

En ik hoop inderdaad dat mijn twee beheerders beter weten dan iets soortgelijks te openen (en vervolgens rechten te geven)
maratropa schreef op zondag 16 februari 2020 @ 21:42:
Ook raar eigenlijk dat user consent niet standaard UIT staat, echt zo'n "security by default" faal imho. Ook staat voorzover ik weet "user assignment required" in de app's properties ook standaard UIT...(dus iedereen kan er standaard bij)

Hier voor 1 app admin consent alleen voor basic profile en inlogacties, user consent staat uit, user assignment required staat aan bij de app.
Dit is een goede aanvulling, neem ik mee.

Voor de rest heb ik nog geen vreemde zaken kunnen vinden in de logging etc. Dus lijkt dat we hier de dans zijn ontsprongen. Bedankt voor alle hulp.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq