16. Exchange

1. Overzicht:

In veel organisaties is e-mail het primair communicatiemiddel, terwijl samenwerkingsplatformen (zoals Teams en SharePoint) het samenwerken in documenten en projecten faciliteren. Deze tools zijn essentieel voor de productiviteit, maar hebben een groot aanvalsoppervlak:

• Gebruikersinteractie: E-mail en chats zijn de meest gebruikte kanalen voor social engineering en phishing.

• Bestandsdeling: OneDrive en SharePoint bieden uitgebreide mogelijkheden om bestanden te delen, wat kan leiden tot ongewenste blootstelling van gevoelige data.

• Naadloze integratie: Integraties met andere SaaS-oplossingen (bijv. CRM-systemen, marketingtools) verhogen de kans op slecht afgeschermde toegangspunten.

Een succesvolle aanval op Exchange, SharePoint, OneDrive of Teams kan ernstige datalekken, bedrijfsstilstand en reputatieschade veroorzaken. Het is dus cruciaal om deze services tijdens een pentest grondig door te lichten.

2. Exchange Online:

Exchange Online is het hosted e-mailplatform binnen Office 365. Hoewel Microsoft veel antispam- en antiphishingfunctionaliteiten inbouwt, blijft de menselijke factor en de configuratie van transport- en mailboxregels kwetsbaar.

2.1 Mailbox- en transportregels

1. Ongewenste mailflow rules

   • Auto-forward naar externe adressen: Een kwaadwillende kan een verborgen forwardingregel aanmaken die alle binnenkomende mail naar een extern adres stuurt. Dit wordt soms niet opgemerkt door eindgebruikers.

   • Inbox-regels met keywoordfilters: Een aanvaller kan regels maken die mail met specifieke content doorsturen of verwijderen, waardoor incidenten of waarschuwingen onzichtbaar blijven.

2. Mailboxdelegaties

   • Delegated Access (Send As, Send on Behalf): Te brede delegaties kunnen ertoe leiden dat onbevoegde personen namens hooggeplaatste gebruikers (bijv. directieleden) e-mails versturen.

   • Review van gedeelde mailboxen: Gedeelde mailboxen met zwakke wachtwoorden of ongecontroleerde delegaties vormen een aanvalsvector.

3. Compliance-instellingen

   • Retention policies: Verkeerd ingestelde retentie kan leiden tot het (onbedoeld) bewaren of verwijderen van gevoelige data.

   • Litigation Hold en eDiscovery: Slechte afscherming van eDiscovery-configuraties kan ertoe leiden dat onbevoegden alle mailboxinhoud inzien.

2.2 Mailspoofing en authenticatieprotocollen

1. DMARC, DKIM, SPF

   • Implementatie en configuratie: Onvolledige of ontbrekende DMARC/DKIM/SPF-records maken het eenvoudiger om vanuit het bedrijfsdomein phishingmails te versturen.

   • Alignment-checks: Bij een verkeerde configuratie kunnen mailservers het onderscheid niet goed maken tussen legitieme en malafide afzenders.

2. Legacy Authentication

   • POP3, IMAP en SMTP Basic Auth: Als deze protocollen niet expliciet zijn uitgeschakeld, kunnen ze een achterdeur vormen om MFA te omzeilen.

   • Secure Default-opties: Microsoft heeft inspanningen gedaan om Basic Auth uit te faseren, maar veel organisaties laten het om compatibiliteitsredenen nog aanstaan.

2.3 Phishing- en spamafweer

1. Exchange Online Protection (EOP)

   • Antiphishing- en antimalwarebeleid: De instellingen van EOP moeten regelmatig worden geoptimaliseerd. Bijvoorbeeld het streng instellen van spoof intelligence.

   • Verdachte bijlagen en Safe Attachments: Zijn bijlagescans en sandboxing correct geconfigureerd, en wordt Safe Attachments gebruikt?

2. Defender for Office 365 (Advanced Threat Protection)

   • Safe Links: Controle of link rewriting actief is, om gebruikers te beschermen tegen malafide URL’s in e-mails.

   • Threat Explorer: Is de beheerder in staat om snel phishingcampagnes en getroffen mailboxen te detecteren en te isoleren?

3. SharePoint Online en OneDrive for Business: Kritieke Onderdelen van Samenkwerking

SharePoint Online en OneDrive zijn verantwoordelijk voor een groot deel van de datamanagement en documentopslag binnen Office 365. Ze faciliteren real-time samenwerking, versiebeheer en extern delen. Dit brengt ook risico’s met zich mee.

3.1 Toegangsrechten en mappenstructuur

1. Overly permissive sharing

   • Publieke links: Als anonieme links zonder vervaldatum of wachtwoordbeveiliging worden gebruikt, kunnen gevoelige documenten open en bloot op het internet staan.

   • Gasttoegang in SharePoint-sites: Externe gebruikers krijgen soms onbedoeld te ruime toegang, bijvoorbeeld tot een gehele site in plaats van een specifieke map.

2. Versiebeheer en metagegevens

   • Versiebeheer: Oude versies kunnen gevoelige data bevatten die later is verwijderd of aangepast in de huidige versie.

   • Labeling en encryptie (Sensitivity Labels): Onvoldoende integratie van Purview Information Protection kan leiden tot ongelabelde en onversleutelde documenten.

3.2 Extern delen en Gastaccounts

1. B2B Collaboration

   • Azure AD B2B: Onvoldoende restricties op B2B-samenwerking kunnen ertoe leiden dat externe partners — of kwaadwillenden die zich als zodanig voordoen — toegang krijgen tot complete sites of documentbibliotheken.

   • Beleid voor gastgebruikers: Controle of gastgebruikers geen beheerdersrechten hebben gekregen en of ze automatisch worden opgeruimd (disable of removal) na inactiviteit.

2. Conditional Access Policies

   • Device-based en Location-based Access: Worden risico’s (bijv. inloggen vanaf onbekende locaties of niet-geregistreerde apparaten) voldoende afgedekt?

   • Blokkeren van legacy protocollen: Geldt het beleid ook voor SharePoint/OneDrive-access vanuit Office-clients die geen moderne authenticatie ondersteunen?

3.3 Data Life Cycle en Compliance

1. Retention en Records Management

   • Automatische retentie: Als retentiebeleid niet goed is ingesteld, lopen organisaties het risico op ongeoorloofde vernietiging of juist overmatige opslag van documenten.

   • Records management: Voor onder meer juridische verplichtingen kan onjuist gebruik van recordstatussen tot compliance-issues leiden.

2. eDiscovery in SharePoint/OneDrive

   • Search Scopes: Te brede scopes bij eDiscovery-search kunnen data van andere afdelingen of van de directie zichtbaar maken.

   • Data Export: Onvoldoende logging rond eDiscovery-exports kan leiden tot onopgemerkte datalekken.

4. Microsoft Teams: Chat, Vergaderingen en Bestanden

Teams is meer dan alleen een chatapplicatie; het integreert audio- en videogesprekken, het delen van bestanden en talloze app-integraties. Hierdoor is Teams een cruciale component in de Office 365-pentest.

4.1 Teams- en Kanaalrechten

1. Teams Owners en Guest Access

   • Te brede Owner-rechten: Eigenaren kunnen leden en externen toevoegen en apps installeren. Onvoldoende governance kan leiden tot ongecontroleerde groei van teams en kanalen, met complexe permissiestructuren.

   • Gasttoegang in Teams: Gastgebruikers hebben vaak meer rechten dan nodig. Zonder een strikte policy riskeren organisaties ongeautoriseerde inzage in teamgesprekken, bestanden en apps.

2. Private Channels en Shared Channels

   • Private Channels: Worden deze correct ingezet om gevoelige gesprekken te isoleren? Of creëert men ‘shadow channels’ met te open permissies?

   • Shared Channels: Deze functionaliteit (gedeelde kanalen met externe organisaties) vereist extra aandacht om datalekken te voorkomen.

4.2 App-integraties en Bots

1. Teams Store en custom apps

   • Toegangsrechten van apps: Een onveilige app kan gevoelige gegevens vanuit Teams uitlezen of manipuleren.

   • Botframework: Bots kunnen geautomatiseerde interacties uitvoeren (bijv. chatbots die data extern versturen). Zijn deze bots veilig opgezet en welke data mogen ze verwerken?

2. Externe Cloud Storage

   • Share links in Teams: Wanneer men Google Drive of Dropbox koppelt, ontstaat mogelijk een dubbel aanvalsoppervlak (geen Microsoft 365 security).

   • Third-Party Connector Implementaties: Een Slack- of Webex-koppeling kan credentials opslaan in logs of ongewenste dataoverdracht toestaan.

5. Pentest-aanpak voor E-mail & Samenwerking: Belangrijke Testtechnieken

Een professionele pentest op Exchange, SharePoint, OneDrive en Teams omvat zowel technische kwetsbaarheidstesten als sociale en organisatorische elementen.

1. Gerichte phishingcampagnes

   • Business Email Compromise (BEC)-simulatie: Het nabootsen van CEO-fraude door te mailen vanuit een (bijna) gelijkend domein of door spoofing (indien DMARC niet strict staat).

   • Teams-phishing: Sturen van malafide links of attachments via Teams-berichten om te beoordelen hoe gebruikers en beheerprocedures reageren.

2. Privilege-escalatie binnen mail en bestandstoegang

   • Misbruik van mailboxdelegatie: Een aanvaller die account A compromitteert, kan via delegatie account B, C of D uitlezen.

   • Overgenomen gast- of externe accounts: Controleren of dergelijke accounts ongezien kunnen escaleren naar hogere rechten.

3. Netwerk- en protocolanalyse

   • Inspectie van POP3, IMAP en SMTP: Check op Basic Authentication en versleuteling (TLS).

   • Monitoren van file sharing-protocollen: Controleren of delen van documenten via de web- of desktopclients veilig is en of compliance checks worden afgedwongen.

4. API-tests en integraties

   • Graph API: Kijken of malafide tokens te breed geauthoriseerd kunnen worden, zodat een pentester de volledige mailbox- of bestandsinfrastructuur kan uitlezen.

   • PowerShell-scripts: Analyse van slecht beveiligde scripts die plaintext credentials bevatten of permissies te hoog instellen.

6. Bewaking en Herstel: Logging, Monitoring en Incidentrespons

Omdat e-mail- en samenwerkingsdiensten zo kritisch zijn, is een goede logging en incidentrespons essentieel.

1. Microsoft 365 Audit Logs

   • Volledigheid: Worden alle cruciale acties (verwijderen of delen van bestanden, aanmaken van mailflow rules) gelogd?

   • Bewaartermijn: Voor forensische doeleinden is het nodig dat logs voldoende lang beschikbaar zijn.

2. Real-time Monitoring

   • Security & Compliance Center: Kunnen verdachte activiteiten (bijv. bulk downloads in OneDrive of mass forwarding in Exchange) snel worden gedetecteerd?

   • Integratie met SIEM/SOAR: Zodat alerts uit M365 direct escaleren naar een Security Operations Center voor snelle respons.

3. Herstelprocessen

   • Disaster Recovery: Beschikken Exchange en SharePoint over back-ups of snapshotmogelijkheden, en zijn die getest?

   • Mailbox/SharePoint Restore: Is er een helder proces als blijkt dat mail of bestanden zijn gemanipuleerd of verwijderd door een aanvaller?

7. Advies en Conclusie

Bij een Office 365-pentest met nadruk op e-mail en samenwerkingsservices is het van belang om zowel de technische configuraties als de menselijke factor (gebruikersbewustzijn, phishingrespons) grondig te testen. Organisaties die deze componenten negeren, lopen een verhoogd risico op datalekken, financiële schade en reputatieverlies.

1. Samenhang in beveiliging

   • Een keten is zo sterk als de zwakste schakel: Exchange kan op orde zijn, maar als OneDrive openbaar deelbare links toestaat, blijft het risico hoog.

   • Consistente security policies: Door structurele inzet van Conditional Access, DLP, antiphishing en auditing in alle Office 365-diensten kan het aanvalsoppervlak drastisch worden beperkt.

2. Periodieke Pentests en Awareness

   • Doorlopende controles: Microsoft 365 diensten en features veranderen continu. Regelmatig pentesten blijft onmisbaar.

   • Gebruikerstraining: Zelfs met sterke technische maatregelen blijft menselijke fout vatbaar, vooral bij phishing en onbedoeld extern delen.

3. Roadmap naar verbetering

   • Mitigerende acties: Per dienst (Exchange, SharePoint/OneDrive, Teams) kunnen duidelijke actiepunten worden opgesteld, inclusief rollen, tijdslijnen en meetbare KPI’s (bijv. verminderen ‘guest’ accounts).

   • Continu leren en optimaliseren: Organisaties die security als een doorlopend proces beschouwen en lessons learned implementeren, versterken hun weerbaarheid tegen nieuwe aanvalsscenario’s.