Device code flow-aanmelding op Tier0-account [RULE-1164]
Deze regel detecteert of een Tier0-account inlogt via de device code flow.
Rationale
Deze regel detecteert wanneer device code flow-authenticatie wordt gebruikt voor Tier0-accounts met verhoogde privileges. Device code flow is een legitieme OAuth 2.0-authenticatiemethode, maar is uitgegroeid tot een belangrijk aanvalsvector voor geavanceerde phishingaanvallen die gericht zijn op accounts met hoge privileges.
Bij een phishingaanval via device code flow stuurt de aanvaller het slachtoffer een kwaadaardige link (vaak vermomd als een beveiligingsmelding, een verzoek van IT-support of een legitieme Microsoft-notificatie). Wanneer het slachtoffer op de link klikt en de weergegeven code invoert op microsoft.com/devicelogin, verleent het slachtoffer onbewust de aanvaller volledige toegang tot het account. De aanvaller ontvangt een authenticatietoken zonder ooit het wachtwoord van het slachtoffer nodig te hebben of MFA te omzeilen.
Fix
Er is een geautomatiseerde oplossing beschikbaar via Attic om deze dreiging te mitigeren.Als de gedetecteerde aanmelding niet legitiem is en u de dreiging handmatig wilt mitigeren, raden we aan om de volgende acties uit te voeren:
- Het account onmiddellijk uitschakelen
- Alle actieve sessies intrekken
- Het wachtwoord resetten
Impact
Na het uitvoeren van de oplossing wordt het betreffende account uitgeschakeld en worden alle actieve sessies van dat account afgemeld.