AiTM Kloon Detectie en Mitigatie [CHK-1102]
Attic beschermt de Microsoft 365 omgeving tegen Adversary-in-the-Middle (AiTM) aanvallen met behulp van het platform van didsomeoneclone.me.
Rationale
AiTM wordt door aanvallers gebruikt om multi-factor authenticatie (MFA) te omzeilen. De aanvaller verleidt het slachtoffer om een kwaadaardige URL te bezoeken, waar een real-time kloon van de legitieme Microsoft login pagina wordt getoond. De kloon fungeert als doorgeefluik voor informatie tussen Microsoft en het slachtoffer, waarbij de ingevulde data door de aanvaller kan worden gekopieerd.
Fix
Een geautomatiseerde fix is beschikbaar via Attic.
Manuele stappen: Neem contact op met uw Attic operator om de Kloon Detectie functie voor uw omgeving in te schakelen.
Impact
Deze functionaliteit wordt geïnstalleerd met behulp van 2 losstaande checks:
- CHK-1102 - Controleert of clone detectie is ingeschakeld. Een Attic alarm voor deze Check zal afgaan als deze detectie nog niet is geinstalleerd. Installatie van clone detectie zal leiden tot een alarm aan de Attic beheerder(s) via CHK-1158 indien een medewerker een clone van de Microsoft login pagina bezoekt.
- CHK-1103 - Controleert of clone mitigatie is ingeschakeld. Een Attic alarm voor deze Check zal afgaan als mitigatie nog niet is geïnstalleerd. Installatie van clone mitigatie zal de bezoeker van een clone een zichtbare waarschuwing laten zien met het dringende advies geen wachtwoord in te vullen.