info@route443.eu

+31 (0)85 303 46 43

CONTACT

De nieuwe illusie: Waarom MFA-Bypassing de nieuwe standaard is

10 Jaar Identity Security In 2016, toen wij bij Route443 onze focus volledig op Identity Security legden, werden we vaak met een schuin oog aangekeken. “Is een firewall en een goede virusscanner niet genoeg?”  

 

De realiteit van 2026 geeft het antwoord. Identity is de nieuwe perimeter.  

 

Maar terwijl organisaties massaal overstappen op Microsoft Entra, zitten aanvallers niet stil. De recente golf van aanvallen op organisaties zoals Odido laat zien dat de traditionele Multi-Factor Authenticatie (MFA) niet langer het onneembare fort is dat we dachten. 

 

De Anatomie van de Moderne Aanval 

De Digitale Kettingbrief  

Wat we momenteel in het SOC van Route443 veelvuldig zien, is een uiterst geraffineerde vorm van phishing die gebruikmaakt van het onderlinge vertrouwen binnen organisaties. We noemen dit ook wel de “digitale kettingbrief”.

 

Het begint niet met een verdacht bestand of een vreemd e-mailadres. Het begint met een legitieme link van Microsoft Forms, verzonden door een bekende collega of organisatie. Omdat het domein (forms.office.com) op vrijwel elke allow-list staat, zeilt de aanval moeiteloos langs de Exchange Online Protection (EOP) en Defender for Office 365. 

 

Techniek onder de motorkap 

Adversary-in-the-Middle (AiTM) De techniek achter deze aanvallen is gebaseerd op een AiTM-proxy. De aanvaller stuurt je niet naar een nagemaakte inlogpagina, maar fungeert als een doorgeefluik (proxy) tussen jou en de echte Microsoft Entra inlogpagina.

  1. Deklik:De gebruiker klikt op de valide Forms-link. In dat formulier staat een link naar de eigenlijke phishing-site (de proxy). 
  2. Deauthenticatie:De gebruiker voert zijn gebruikersnaam en wachtwoord in op de proxy. De proxy geeft dit real-time door aan Microsoft. 
  3. De MFA-Challenge:Microsoft stuurt een MFA-verzoek (bijv. een pushbericht in deAuthenticator app). De gebruiker keurt dit goed, denkend dat hij inlogt op Microsoft Forms. 
  4. Dediefstal:Hier gaat het mis. Na de succesvolle MFA-check stuurt Microsoft een Session Token (cookie) terug. De proxy van de aanvaller onderschept dit cookie voordat het de browser van de gebruiker bereikt. 

 

Het resultaat 

De aanvaller ‘plakt’ dit cookie in zijn eigen browser. Vanaf dat moment is hij volledig geauthenticeerd als de gebruiker, inclusief de doorlopen MFA-stap. De aanvaller kan nu uren of zelfs dagen ongestoord in de omgeving opereren, data exfiltreren of nieuwe “kettingbrieven” versturen naar het adresboek van het slachtoffer. Mocht je dit overigens met eigen ogen willen zien, wij hebben hier in 2023 een demo voor gemaakt welke exact dit scenario stap voor stap laat zien. Neem contact met ons op wanneer je hier meer van te weten wilt komen. 

 

Waarom MFA alleen niet meer genoeg is  

Veel organisaties denken dat ze met het aanzetten van MFA “klaar” zijn. De praktijk leert dat standaard MFA (via SMS, Voice of standaard Push) maar ook de uitgebreidere en nieuwe vormen van MFA kwetsbaar is voor AiTM en MFA fatigue aanvallen. In onze 10 jaar ervaring hebben we de aanvalstactieken zien evolueren van simpele brute-force aanvallen naar complexe sessie-kapingen. 

 

De Oplossing  

Een Phishing-Resistant Strategie Hoe wapen je je tegen deze aanvallen binnen het Microsoft Entra ecosysteem? Bij Route443 adviseren we onze klanten een gelaagde aanpak: 

  • Phishing-Resistant MFA: Stap over op methoden die niet onderschept kunnen worden door een proxy, zoals FIDO2-beveiligingssleutels of Windows Hello for Business. Deze methoden maken gebruik van een hardwarematige koppeling tussen het apparaat en de identiteit. 
  • Token Protection: Microsoft introduceert technieken om sessie-tokens te “binden” aan een specifiek apparaat. Zelfs als een aanvaller het cookie steelt, is het onbruikbaar op een ander device. 
  • Conditional Access met Device Compliance: Dwing af dat gebruikers alleen kunnen inloggen vanaf een beheerd en compliant apparaat (Intune). Een aanvaller die een cookie steelt, voldoet meestal niet aan deze eisen. 
  • Continuous Access Evaluation (CAE): Zorg dat sessies direct worden ingetrokken bij verdacht gedrag of een verandering in de netwerklocatie, in plaats van te wachten tot het token verloopt. 

 

Conclusie 

Expertise maakt het verschil Sinds 2016 hebben we vele stormen in cybersecurity voorbij zien komen. De overstap naar Microsoft Entra is een enorme stap voorwaarts, maar de inrichting bepaalt de effectiviteit. De aanval op Odido is een waarschuwing voor ons allemaal: vertrouwen is goed, maar een continu geverifieerde identiteit is beter. 

 

Bent u benieuwd of uw huidige MFA-inrichting bestand is tegen AiTM-aanvallen?  

Onze experts duiken graag met u in uw Microsoft Entra configuratie. Met 10 jaar ervaring in Identity Security weten we precies waar de zwakke plekken zitten die aanvallers proberen te misbruiken. 

Plan direct een gesprek 

Route443 services

DIGITAL DEFENSE REVIEW

In een tijd waarin digitale bedreigingen voortdurend evolueren, is het essentieel om uw digitale landschap grondig te begrijpen en te beveiligen. Een Digital Defense Review is hierbij een onmisbaar instrument. Als uw toegewijde cybersecurity-dienstverlener willen we benadrukken waarom een Digital Defense Review van cruciaal belang is en hoe het aanzienlijke waarde toevoegt voor u, onze klant.

CYBER Projecten

In de wereld van cybersecurity is implementatie van strategieën en adviezen van cruciaal belang. Onze Projectenafdeling vormt de ruggengraat van deze uitvoering, in nauwe samenwerking met onze Strategieafdeling.

SOC++

Bij Route443 begrijpen we dat effectieve cybersecurity verder gaat dan detectie en reactie. Onze SOC++ dienst biedt een uitgebreide, proactieve benadering die verder kijkt dan de traditionele Security Operations Centers (SOC). Een van onze belangrijkste specialisaties is identiteitsbeveiliging, omdat we weten dat 90% van de cyberaanvallen begint met het compromitteren van een identiteit.

Cyber CONSULTANCY

Onze Consultancy Afdeling is de plek waar de best opgeleide security specialisten op alle niveaus en kennisgebieden samenkomen om onze klanten te ondersteunen, te adviseren en bij te staan bij interne security projecten.

CYBER STRATEGIE

In de snel evoluerende wereld van cybersecurity speelt de strategieafdeling van Route443 een cruciale rol. Deze afdeling fungeert als het kloppende hart dat continu de vinger aan de pols houdt bij de nieuwste ontwikkelingen in de cyberwereld.

CISO AS A SERVICE

In het huidige digitale landschap is cybersecurity een absolute prioriteit. Maar niet elke organisatie heeft de middelen om een fulltime Chief Information Security Officer (CISO) in dienst te nemen. Dit is waar CISO as a Service om de hoek komt kijken.

CYBER EXPERIENCE CENTER

In een wereld waarin digitale dreigingen steeds geavanceerder worden, is het essentieel dat organisaties niet alleen investeren in technologie, maar ook in de bewustwording en ontwikkeling van hun medewerkers. Route443 speelt hierop in met de ontwikkeling van een Cyber Experience Center, een innovatieve hub waar cybersecurity-expertise, onderzoek en educatie samenkomen.

Cyber Academy

In de snel veranderende wereld van cybersecurity is het essentieel dat professionals beschikken over actuele kennis en vaardigheden. De Route443 Academy biedt een innovatieve aanpak voor het opleiden van medewerkers, waarbij leren en werken hand in hand gaan.