Authenticatiemethoden gewijzigd voor PIM-eligible gebruiker [RULE-1149]

Rationale

Privileged Identity Management (PIM) biedt just-in-time geprivilegieerde toegang door gebruikers in staat te stellen beheerdersrollen alleen te activeren wanneer dat nodig is. Gebruikers die PIM-eligible zijn voor high-privilege rollen zoals Global Administrator, Security Administrator of Exchange Administrator kunnen tijdelijk hun rechten verhogen. Dit maakt hen waardevolle doelwitten voor aanvallers.

Als een aanvaller een PIM-eligible account compromitteert en een eigen MFA methode registreert (MITRE ATT&CK T1098.005 - Account Manipulation: Device Registration), kan deze vervolgens de geprivilegieerde rol activeren en de MFA challenge doorstaan met de eigen geregistreerde methode. Dit geeft de aanvaller volledige beheerderstoegang tot de tenant, waardoor deze beveiligingsconfiguraties kan wijzigen, alle data kan benaderen, extra backdoor accounts kan aanmaken en security monitoring kan uitschakelen.

De combinatie van PIM eligibility en wijziging van authenticatiemethoden is bijzonder gevaarlijk omdat het een duidelijk pad naar privilege escalation vormt. Zelfs als het account op dat moment geen beheerdersrechten heeft, kan de aanvaller deze naar eigen inzicht activeren. Deze regel biedt vroege detectie van deze aanvalsketen voordat de aanvaller escaleert naar volledige beheerderstoegang. Snelle opvolging is essentieel om volledige tenant compromise te voorkomen.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

1. Verifieer of de wijziging van de authenticatiemethode intentioneel was: Neem contact op met de accounteigenaar en de initierende gebruiker (indien afwijkend) om te bevestigen of de wijziging gepland en geautoriseerd was. Controleer welke specifieke authenticatiemethode is toegevoegd of gewijzigd, en of de gebruiker recentelijk PIM rollen heeft geactiveerd.

   • Zo nee: De wijziging was ongeautoriseerd en het account is mogelijk gecompromitteerd:

     1. Disable het betreffende account onmiddellijk in Microsoft Entra ID om te voorkomen dat de aanvaller PIM rollen kan activeren.
     2. Revoke alle actieve sessies en verwijder alle PIM role activations die momenteel actief zijn voor deze gebruiker.
     3. Verwijder alle authenticatiemethoden die door de aanvaller zijn toegevoegd, reset vervolgens het wachtwoord van de gebruiker en vereis herregistratie van MFA methoden via een veilig, geverifieerd proces.
     4. Review de PIM activation history in Microsoft Entra ID om vast te stellen of er geprivilegieerde rollen zijn geactiveerd na de wijziging van de authenticatiemethode.
     5. Review de recente activiteit van het account in het Unified Audit Log (https://security.microsoft.com/auditlogsearch) op tekenen van beheerdersacties, data exfiltration, mail forwarding rules, OAuth app consents of wijzigingen aan beveiligingsconfiguraties.
     6. Overweeg het inschakelen van het Attic IR team voor een uitgebreid onderzoek, met name als geprivilegieerde rollen zijn geactiveerd door de aanvaller. Hiervoor is een IR Strippenkaart vereist.

   • Zo ja: De wijziging was intentioneel en geautoriseerd:

     1. Verifieer dat de wijziging voldoet aan het beveiligingsbeleid van uw organisatie voor geprivilegieerd accountbeheer en PIM procedures.
     2. Indien acceptabel: sluit het incident af en documenteer de goedgekeurde wijziging.

Meer informatie

• Microsoft Learn: Privileged Identity Management
• Microsoft Learn: Authentication methods in Microsoft Entra ID
• Microsoft Learn: Protect privileged accounts
• MITRE ATT&CK T1098.005 - Account Manipulation: Device Registration