Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Authenticatiemethoden gewijzigd [RULE-1148]

Deze regel detecteert wanneer een gebruiker of een beheerder de authenticatiemethoden van een geprivilegieerd account wijzigt. Dit omvat het toevoegen, verwijderen of aanpassen van multi-factor authentication (MFA) methoden zoals telefoonnummers, authenticator apps of security keys. Wijzigingen aan authenticatiemethoden op geprivilegieerde accounts vereisen onmiddellijke verificatie omdat ze kunnen wijzen op een aanvaller die persistence vestigt na het compromitteren van een account.

Rationale

Nadat een aanvaller een account heeft gecompromitteerd, is een van hun eerste acties vaak het registreren van een eigen authenticatiemethode -- zoals het toevoegen van een nieuw telefoonnummer of authenticator app voor MFA. Deze techniek is gedocumenteerd in MITRE ATT&CK als T1098.005 (Account Manipulation: Device Registration). Door een eigen MFA methode te registreren, zorgt de aanvaller ervoor dat ze multi-factor authentication challenges kunnen doorstaan, zelfs nadat het wachtwoord van de legitieme gebruiker is gereset.

Dit is bijzonder gevaarlijk voor geprivilegieerde accounts omdat deze accounts verhoogde toegang hebben tot gevoelige data, beheerfuncties en beveiligingsconfiguraties. Als een aanvaller de authenticatiemethoden van een geprivilegieerd account beheerst, kan deze persistent toegang behouden tot de tenant, beveiligingsinstellingen wijzigen, extra backdoors creeren en toegang krijgen tot vertrouwelijke informatie.

Wijzigingen aan authenticatiemethoden op geprivilegieerde accounts zouden zeldzaam en altijd intentioneel moeten zijn. Elke onverwachte wijziging moet worden behandeld als een potentiele compromise totdat het tegendeel is bewezen. Snelle verificatie en respons kunnen voorkomen dat een aanvaller de legitieme gebruiker buitensluit en langdurige toegang behoudt.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Verifieer of de wijziging van de authenticatiemethode intentioneel was: Neem contact op met de accounteigenaar en de initierende gebruiker (indien afwijkend) om te bevestigen of de wijziging gepland en geautoriseerd was. Review welke specifieke methode is toegevoegd of gewijzigd.

    • Zo nee: De wijziging was ongeautoriseerd en het account is mogelijk gecompromitteerd:

      1. Disable het betreffende account onmiddellijk in Microsoft Entra ID om verdere toegang te voorkomen.
      2. Revoke alle actieve sessies voor de gebruiker en verwijder alle authenticatiemethoden die door de aanvaller zijn toegevoegd.
      3. Reset het wachtwoord van de gebruiker en vereis dat de legitieme gebruiker opnieuw MFA methoden registreert via een veilig, geverifieerd proces.
      4. Review de recente activiteit van het account in het Unified Audit Log (https://security.microsoft.com/auditlogsearch) op andere tekenen van compromise, zoals mail forwarding rules, OAuth app consents, data access of privilege escalation.
      5. Overweeg het inschakelen van het Attic IR team voor een uitgebreid onderzoek om de volledige omvang van de compromise vast te stellen. Hiervoor is een IR Strippenkaart vereist.

    • Zo ja: De wijziging was intentioneel en geautoriseerd:

      1. Verifieer dat de wijziging voldoet aan het beveiligingsbeleid van uw organisatie voor geprivilegieerd accountbeheer.
      2. Indien acceptabel: sluit het incident af en documenteer de goedgekeurde wijziging.

Meer informatie