15. 365 - Pentest

1. Scope

In deze sectie wordt de reikwijdte van de pentest binnen Microsoft 365 bepaald. Het accent ligt op alle componenten en processen die een reëel risico vormen voor de organisatie, met als doel het inventariseren en verhelpen van potentiële beveiligingslekken.

1.1 Identiteitsbeheer en Authenticatie

Microsoft 365 maakt voor identiteits- en toegangsbeheer gebruik van Azure AD. De correctheid en robuustheid van deze configuraties bepalen in grote mate de beveiliging van de gehele omgeving.

  1. Gebruikersbeheer

    • Analyse van gebruikers- en groepsstructuren: We onderzoeken de hiërarchie van security groups, distribution groups en roltoewijzingen. Bepaalde configuraties, zoals Global Admin-toewijzingen, kunnen tot onnodig hoge privileges leiden.

    • Detectie van slapende accounts en ongebruikte gastaccounts: Geblokkeerde, gedeactiveerde of gastaccounts die niet regelmatig worden gereviseerd, kunnen een ingang bieden voor aanvallers.

    • Controle op gebruik van serviceaccounts: Serviceaccounts met te brede rechten (bijvoorbeeld binnen Exchange Online PowerShell) vergroten het aanvalsoppervlak en kunnen leiden tot ongewenste toegang.

  2. Wachtwoordbeheer

    • Naleving van wachtwoordbeleid: De effectiviteit van het wachtwoordbeleid wordt gecontroleerd: sterkte, verplichte rotatie, logging van wachtwoordwijzigingen en conformiteit met Microsoft 365 best practices.

    • Beoordeling van Azure AD Password Protection (M365 Auth): Er wordt onderzocht of zwakke en veelvoorkomende wachtwoorden (bijv. ‘123456’, ‘Welkom01’) actief worden geblokkeerd en hoe gebruikers hiervan op de hoogte worden gebracht.

    • Simulaties van brute-force en wachtwoordhergebruik: Door gerichte aanvallen (o.a. password spraying) wordt getest of de omgeving voldoende weerbaar is.

  3. Multi-Factor Authentication (MFA)

    • Verplichte toepassing MFA: We checken of cruciale rollen (Global Admin, SharePoint Admin, Exchange Admin) MFA verplicht hebben gesteld, wat de drempel voor accountovername aanzienlijk verhoogt.

    • Analyse van gebruikte MFA-methoden: Denk aan pushnotificaties, SMS-codes, hardware tokens of biometrische authenticatie. De balans tussen gebruiksgemak en veiligheid is hierbij essentieel.

    • MFA-bypass en social engineering-tests: Onderzoek of de omgeving bestand is tegen ‘MFA Fatigue’-aanvallen en phishingtechnieken rond 2FA-codes.

  4. Gasttoegang

    • Evaluatie van gastgebruikers en hun rechten: Gastgebruikers zijn vaak nodig voor samenwerking met externe partijen, maar te ruime gastrechten vergroten de kans op datalekken.

    • Controleren van configuraties in Azure AD B2B en External Identities: Onjuist ingestelde B2B-werkstromen kunnen leiden tot ongeautoriseerde toegang of onbedoelde escalatie van rechten.

  5. Conditional Access Policies

    • Valideren van beleidsregels: We bepalen of de gedefinieerde policies (gebaseerd op risico, locatie, device compliance) voldoende dekking bieden.

    • Simulatie van bypass-pogingen: Bijvoorbeeld via legacy- en Basis-authenticatie (IMAP, POP3, SMTP) die MFA kunnen omzeilen. We checken hoe effectief het beleid in deze situaties is.

1.2 E-mail- en Samenwerkingsservices

Microsoft 365 bevat een scala aan diensten voor communicatie en samenwerking: Exchange Online, Microsoft Teams, SharePoint Online, OneDrive. Deze diensten zijn wezenlijk voor de productiviteit, maar vormen ook een interessant doelwit voor aanvallers.

  1. Exchange Online

    • Mailbox- en transportregels: We testen op ongebruikelijke mailflow rules en auto-forwardregels die e-mail naar externe adressen doorsluizen. Een aanvaller kan via verborgen inbox-regels onopgemerkt datalekken veroorzaken.

    • Mailspoofing, DMARC/DKIM/SPF: Verkeerde configuraties of ontbrekende records maken domeinen kwetsbaar voor phishing. We beoordelen of mail correct wordt gefilterd en geïdentificeerd.

    • Compliance-instellingen (Retention, eDiscovery):

    • Verkeerde retentie-instellingen kunnen leiden tot onbedoeld dataverlies of excessieve opslag van gevoelige data. eDiscovery moet correct afgeschermd zijn zodat niet iedereen inzicht heeft in (historische) mail.

  2. SharePoint Online & OneDrive

    • Toegangsrechten en mappenstructuur: Gedeelde mappen, subsite-instellingen en geavanceerde permissiestructuren worden doorgelicht op onbedoelde openingen.

    • Versiebeheer en informatiebeveiligingslabels: We beoordelen of documentversies correct worden gelabeld en voorzien van (automatische) encryptie.

    • Extern delen: Publieke links, externe invites en vervaldata worden nagekeken. Onbeperkte of open sharingscenario’s vergroten het risico op datalekken.

  3. Microsoft Teams

    • Teams- en kanaalrechten: Te ruime ‘owner’-rechten of slecht beheerde gasttoegang kunnen leiden tot ongewenste informatielekken in kanalen of chatberichten.

    • App-integraties en bots: Een slechte beveiliging rond externe apps of bots kan ertoe leiden dat kwaadwillenden gevoelige gegevens onderscheppen of manipuleren.

1.3 Data Security en Compliance

Het is essentieel om inzicht te hebben in hoe data binnen Microsoft 365 wordt geclassificeerd, gelabeld en beschermd. Foutieve configuraties kunnen leiden tot serieuze compliance- en privacyrisico’s.

  1. Dataclassificatie en DLP (Data Loss Prevention)

    • Evaluatie van DLP-beleid: Onvoldoende gedefinieerde of slecht geconfigureerde DLP-regels kunnen ongewenste datastromen (bijv. delen van creditcard- of BSN-gegevens) niet blokkeren.

    • Labeling en encryptie via Microsoft Purview Information Protection: We onderzoeken de effectiviteit van gevoeligheidslabels (Confidentieel, Intern, Publiek, enz.) en of documenten eenduidig zijn gelabeld.

  2. Retention Policies en eDiscovery

    • Controle op retentie-instellingen: Hoe worden documenten, chats en e-mails gearchiveerd of verwijderd? Onjuiste policies kunnen tot onbewuste vernietiging of juist te lange opslag van kritieke data leiden.

    • eDiscovery-aanvragen: Toegang tot eDiscovery (vooral de ‘Content Search’-optie) moet strikt gereguleerd zijn. Anders kan iedere gebruiker potentieel bij vertrouwelijke informatie.

  3. Microsoft 365 Audit Logs

    • Inrichting van auditing: Controle of kritieke acties (bestandsdeling, aanmaken gastaccounts, aanpassingen in beleid) correct in auditlogs worden vastgelegd.

    • Externe tools en SIEM-koppelingen: Een geïntegreerde aanpak met SIEM (Security Information and Event Management) is van belang om real-time alerts te ontvangen en incidentrespons te versnellen.

1.4 Verbindingen en Integraties

Microsoft 365 kan geïntegreerd zijn met tal van externe of on-premises oplossingen, zoals een hybride Active Directory of derde partijen (SaaS-applicaties). Dit kan nieuwe aanvalsoppervlakken creëren.

  1. Hybride identiteitsomgevingen

    • Synchronisatie met on-premises AD (Azure AD Connect): Fouten in de synchronisatie of incomplete filtering (bijv. OU-filtering) kunnen leiden tot ongewenste accounts of permissies in de cloud.

    • Federation Services en Pass-through Authentication: Verouderde of slecht beveiligde Federation Services (ADFS) kunnen kwetsbaarheden bevatten, waardoor inloggegevens onderschept worden.

  2. Third-Party Apps en Add-ons

    • Toegangsrechten voor add-ins (Office Add-ins, CRM-tooling, etc.): Een app die brede machtigingen (bijv. Mail.ReadWrite, Files.ReadWrite) krijgt, kan gevaarlijk zijn bij misbruik of compromittering.

    • OAuth-permissies: Overly permissive consent (door eindgebruikers of beheerders) kan een achterdeurtje bieden voor ongeautoriseerde toegang tot de tenant.

  3. Netwerkconnectiviteit

    • Proxy- en Firewall-instellingen richting Microsoft 365: Bij onjuiste configuraties kunnen proxies of gateways het verkeer verzwakken (inclusief SSL-interceptie) of volledig blokkeren.

    • VPN en Conditional Access integratie: Gecombineerde scenario’s waar devices via VPN verbonden zijn en tegelijkertijd aan Conditional Access voldoen, vereisen strikte configuraties.

1.5 Applicaties, Scripting en API’s

Voor maatwerkoplossingen binnen Microsoft 365 wordt vaak gebruikgemaakt van scripts (PowerShell) en API’s (Graph API). Deze vormen een extra attack surface als ze niet goed worden beveiligd.

  1. Microsoft Graph API

    • Scope en machtigingen: We controleren of apps of scripts een te brede scope hebben (bijv. volledige toegang tot alle mailboxen).

    • Access tokens en tokenrotatie: Verkeerd geconfigureerde tokens (langdurig geldig, onvoldoende rotatie) kunnen langdurige toegang voor een aanvaller mogelijk maken.

  2. PowerShell-scripts

    • Security best practices: Plain-text credentials, onvoldoende logging en het niet afdwingen van Signed Scripts kunnen leiden tot snellere escalaties bij een aanvaller.

    • Logging en monitoring: Zonder degelijke PowerShell-logging blijft het onduidelijk wie welke acties uitvoert, wat incidentrespons en forensisch onderzoek bemoeilijkt.

  3. Third-party bots en applicaties

    • Teams-bots, Power Automate Flows en SharePoint Framework add-ins: Mogelijk kunnen deze data uit kanalen of documentbibliotheken uitlezen en manipuleren. Een te ruime toekenning van privileges vormt een risico.

1.6 Beveiligingstools en Monitoring binnen Microsoft 365

Microsoft 365 heeft een eigen ecosysteem van geïntegreerde beveiligingstools die bijdragen aan een betere zichtbaarheid en bescherming.

  1. Microsoft 365 Defender en Defender for Office 365

    • Analyse van antiphishing, antispam en antimalwareinstellingen: We onderzoeken of inkomende mail en bestanden effectief worden gescand en of beheerders over de juiste dashboards beschikken.

    • Policy compliance en alerts: De doeltreffendheid van beleid (bijv. Safe Links, Safe Attachments) en het opvolgen van alerts door beheerders is cruciaal voor snelle detectie.

  2. Compliance Center en Security Center

    • Evaluatie van waarschuwingen en bedreigingsdetectie: Een goede ‘Threat Protection’-configuratie is essentieel. We beoordelen of de organisatie in staat is om tijdig te reageren op meldingen over verdachte activiteiten.

    • Rapportage en interne procedures: We verifiëren of aanbevelingen en waarschuwingen ook daadwerkelijk leiden tot beleidsaanpassingen en incidentrespons.

2. Rules of Engagement

Bij het uitvoeren van een Microsoft 365-pentest worden specifieke afspraken gemaakt om zowel de beschikbaarheid als integriteit van de bedrijfsprocessen te waarborgen en te voorkomen dat de productiviteit van gebruikers disproportioneel wordt verstoord.

2.1 Toegestane technieken

  • Kwetsbaarhedenscans en handmatige penetratietesten: Met inachtneming van erkende raamwerken (OWASP, NIST) en Microsofts eigen Pentesting Rules of Engagement.

  • Tests van privilege-escalatie, credential-stuffing en mailbox rules: Dit laat zien hoe een werkelijke aanval zou kunnen plaatsvinden in Exchange, SharePoint, OneDrive of Teams.

  • Geautoriseerde tooling: Enkel vooraf afgesproken software (Burp Suite, Metasploit met restricties, PowerShell-scripts, M365-scanners) om de testomgeving gecontroleerd te houden.

2.2 Impactbeperking

  • Productieomgeving: Acties met mogelijk disruptieve impact (bv. bulk phishing, massale DDoS op Microsoft 365-services) worden alleen uitgevoerd na expliciete schriftelijke toestemming en tijdens vooraf afgesproken vensters.

  • Incidentrapportage: Zodra er onbedoelde verstoringen (performanceproblemen, mailflow storingen) optreden of kritieke kwetsbaarheden ontdekt worden, communiceren we direct met de aangewezen contactpersonen.

2.3 Incidentbeheer en escalatie

  • Meldplicht kritieke kwetsbaarheden: Bij ontdekking van een ernstige kwetsbaarheid (bijv. accountovername met Global Admin-rechten) krijgt de opdrachtgever meteen een escalatiebericht.

  • Afspraken over responstijden: Er wordt vastgelegd wie binnen welk tijdsbestek reageert en welke prioriteit verschillende bevindingen krijgen.

2.4 Juridische goedkeuring

  • Schriftelijke toestemming: Alle testactiviteiten vinden uitsluitend plaats op basis van een ondertekende overeenkomst tussen tester en opdrachtgever.

  • Compliance en wet- en regelgeving: We respecteren AVG/GDPR, ISO 27001, NIST-richtlijnen en andere relevante sectorale eisen (bijv. financiële regelgeving).

3. Testmethodologie

De pentestaanpak in Microsoft 365 is veelomvattend en multidimensionaal. Onze methodiek volgt een gestructureerd stappenplan om álle relevante onderdelen te testen.

3.1 Reconnaissance

  1. Externe inventarisatie

    • Identificatie van publiek toegankelijke records: DNS-gegevens, MX, autodiscover, SPF, DMARC, DKIM. Een verouderd of onvolledig record kan een ingang geven tot phishing.

    • Openbare documenten of links: Soms worden bestanden per abuis publiek gedeeld via OneDrive/SharePoint, wat in OSINT-fasen kan worden ontdekt.

  2. Interne inventarisatie

    • Inzicht in tenant-configuraties: We analyseren hoe licenties en domeinen zijn ingesteld, en welke instellingen de baseline vormen.

    • Gebruikers- en groepsinventaris: Hierdoor krijgen we inzicht in potentiële doelwitten (Global Admins, serviceaccounts, managers) en de permissiestructuur.

3.2 Kwetsbaarheidstests

  1. Authenticatie en accounts

    • Brute-force, password spraying en MFA-bypass: We controleren of de tenant hiertegen bestand is, bijvoorbeeld via inlogrestricties en detectiemechanismen.

    • Analyseren van legacy protocols: Als IMAP, POP3 of SMTP Basic Authentication nog actief is, kan dit een bekend zwak punt zijn.

  2. SharePoint/OneDrive/Teams

    • Permissions en sharing links: Ongewenste publiek gedeelde links of overly permissive sharing policies worden opgespoord.

    • Phishingtests via Teams: We benaderen gebruikers met malafide links of bestanden en analyseren of (en hoe) zij hierop reageren.

  3. Exchange Online

    • Transport rules, forwarding en custom mailbox rules: Mogelijke configuraties die data-exfiltratie vergemakkelijken komen aan het licht.

    • Mailspoofing-tests: Door domeinvalidatie te testen, evalueren we de weerbaarheid van de mailinfrastructuur.

3.3 Specifieke testen voor Microsoft 365-services

  1. Security & Compliance Center

    • DLP- en retentionbeleid: We proberen met opzet gevoelige data te delen of te verwijderen om te checken of het beleid correct ingrijpt.

    • Logging en alerts: We beoordelen of abnormale gebeurtenissen (mass-download, bewerking van gevoelige documenten) direct tot waarschuwingen leiden.

  2. Microsoft Graph API

    • Tokenmanagement: Aanvallers kunnen bij slecht tokenbeheer langdurig toegang krijgen. We testen scenarios van token misbruik.

    • Scope- en machtigingsanalyse: Te brede scopes kunnen een volledig domein in gevaar brengen.

4. Rapportage en Aanbevelingen

Na afronding van de pentest resulteert dit in een uitgebreid rapport waarin alle bevindingen, risico’s en mitigerende adviezen op een gestructureerde wijze worden gepresenteerd.

4.1 Gedetailleerd rapport

  1. Overzicht van alle kwetsbaarheden: Elk beveiligingslek krijgt een technische omschrijving, impactanalyse, bewijs van concept (PoC) en een prioritering (bv. High, Medium, Low).

  2. Impactanalyse: We schetsen welk type data en bedrijfsprocessen geraakt kunnen worden. Bij kritieke bevindingen benoemen we het potentiële scenario (bijv. ongeautoriseerde mailboxtoegang).

  3. Aanbevolen mitigerende maatregelen: Praktische adviezen, direct toepasbaar en in lijn met Microsoft 365 best practices en internationale securitystandaarden.

4.2 Aanbevelingen op maat

  1. IAM-beleid versterken: Stricte MFA-regels, reduceren van Global Admin-toewijzingen, implementatie van Conditional Access op basis van risk-based policies.

  2. Beveiliging van e-mail en data: Verder aanscherpen van anti-phishing, DLP-regels, definitie van gevoelige labels, configuratie van eDiscovery.

  3. Automatisering en monitoring: Verbeteren van SIEM/SOAR-integraties, zodat incidenten sneller worden gesignaleerd en afgestemd op escalatieprocedures.

4.3 Nazorg en validatie

  1. Validatie na implementatie van verbeteringen: Om te bevestigen dat de gemelde kwetsbaarheden effectief zijn opgelost en geen regressie is opgetreden.

  2. Training en bewustwording: Medewerkers blijven de eerste verdedigingslinie. Gerichte workshops over phishing, social engineering en het correct omgaan met gevoelige data zijn cruciaal.

Previous14. RoENext16. Exchange

Last updated