CYBER SECURITY.
CYBER SECURITY.
Preventie
Inzicht
Cyberlab

Simpele email hack check tegen Office 365 Exchange ‘hacks’

4 april, 2019

Office 365 Exchange wordt door veel bedrijven gebruikt voor hun e-mailcommunicatie. De cloud brengt vele voordelen met zich mee maar ook een aantal uitdagingen op security-gebied. In dit artikel geef ik een paar simpel toe te passen tips om bedrijven te helpen hun Office 365 Exchange-omgeving beter te beveiligen.

Er wordt vaak gedacht dat een hack ingewikkeld is en dat Microsoft zijn zaken wel zo goed op orde heeft dat een hack niet plaats kan vinden. Dat is slechts ten dele waar: helaas hoeft een hack helemaal niet zo ingewikkeld te zijn en is er amper technische kennis voor nodig.

Zo ontdekten wij onlangs bij een bedrijf met Office 365 Exchange dat alle e-mails die naar de CFO werden verzonden, ook werden doorgestuurd naar een extern en onbekend e-mailadres. Dit gebeurde niet via de forwarding rules in Outlook maar op het niveau van de mailbox op Office 365 Exchange. Het was onbekend hoe lang dit al gaande was en welke informatie hiermee naar buiten is gekomen.

Wat veel beheerders niet weten, is dat Office 365 diverse mogelijkheden heeft om hen te helpen dit soort aanpassingen te detecteren. Dit is echter niet standaard ingeschakeld!

Auditing + Alarms

Office 365 bevat standaard de functionaliteit om Audit logs in te schakelen. Ga hiervoor in Office 365 naar “Security & Compliance” en open het searchmenu. Hierin is de “Audit log search” te vinden. Wanneer je hierop klikt, kom je op de zoekpagina waar je door de audit logs kunt zoeken. Wanneer dit nog niet is ingeschakeld, zal Office 365 dit melden en kun je het hier direct inschakelen (let op: het duurt 24 uur voordat de audit logs zichtbaar worden na inschakeling).

Wanneer auditing is ingeschakeld, kunnen er zogenaamde “Alert policies” gemaakt worden. Dit betekent dat er diverse soorten alarmen aangemaakt kunnen worden. Dit kan op zowel gebruikers- als op organisatieniveau. Om een alarm te maken voor het instellen van een forward op een mailbox ga je naar “Alerts”/ “Alert policies”. Een voorbeeld hoe dit eruit zou kunnen zien, vind je hieronder:

Mobiele telefoon beperkingen

De mobiele telefoon is niet meer weg te denken uit onze samenleving. De meeste bedrijven faciliteren dan ook dat medewerkers hun e-mail op hun telefoon kunnen openen. Dit gebeurt meestal met ActiveSync.

Een kleine voetnoot: er zijn veiliger methodes dan ActiveSync om e-mail op een mobiel te ontvangen en te beheren, die de data bovendien versleutelen. Meer weten? Neem dan contact met ons op via 040-2444666 of info@ip4sure.nl.

Voor bedrijven die toch ActiveSync willen (of moeten) gebruiken, geven we een aantal beveiligingstips:

  • Limiteer onbeperkte toegang tot ActiveSync door mobiele apparaten standaard in Quarantine te plaatsen. De gebruiker ontvangt bij het configureren van zijn e-mail op de mobiele telefoon een (te wijzigen) bericht. Hierin staat bijvoorbeeld dat hij eerst contact moet opnemen met IT om het toestel vrij te geven. Inmiddels heeft ook de IT-afdeling een e-mail ontvangen dat een gebruiker een apparaat heeft toegevoegd voor ActiveSync. De IT-afdeling kan dit apparaat vrijgeven en behoud op deze manier overzicht welk apparaat toegang heeft. Zo kan de IT-afdeling direct de toegang van het oude toestel verwijderen en nagaan waar dit toestel is gebleven, zodat er geen data op het toestel achterblijft. Bovendien wordt e-mailsynchronisatie voor aanvallers met de juiste ActiveSync-credentials geblokkeerd.Je kunt dit configureren door in Office 365 naar het Exchange Admin-center te gaan. Hier kun je onder “Mobile”/ “Mobile Device Acess” de configuratie instellen zoals hieronder:

 

  • Dwing een unlock-code af op het mobiele apparaat.
    Dit kan geconfigureerd worden onder “Mobile”/ “Mobile Device Mailbox Policies”.
    Hier configureer je het bedrijfsbeleid voor unlock-codes van mobiele telefoons die e-mail willen synchroniseren. Voldoet het toestel niet aan het beleid, dan zal de e-mailsynchronisatie niet werken. Een voorbeeld hiervan is:

 

Admin account beheer

Wanneer een bedrijf een Office 365-omgeving aanvraagt wordt er standaard een admin-account gemaakt met het “onmicrosoft”-domein. Vanuit dit account gaan IT-beheerders meestal de Office 365-omgeving optuigen voor het bedrijf en koppelen ze vervolgens het bedrijfsdomein.

Veel bedrijven koppelen hun domein middels SAML aan ADFS en hebben hun ADFS vaak additioneel beveiligd met 2FA. Dit zijn goede beveiligingen, wat echter vaak wordt vergeten, is dat SAML-connecties per domein worden gemaakt: het “onmicrosoft”-domein wordt daarmee niet beveiligd.

Wij zien vaak dat het admin-account van het domein “onmicrosoft” actief wordt gehouden en meestal zonder dat 2FA is ingeschakeld. Ook zien we regelmatig dat er naast het actieve bedrijfsdomein een testdomein wordt toegevoegd. Vaak heeft ook dit testdomein een admin-account en kan het op die manier misbruikt worden om bij gegevens van het bedrijf te komen.

Controleer daarom altijd of er geen admin-account actief is op het “onmicrosoft”-domein of een testdomein. Configureer vervolgens een alert zoals eerder beschreven, om een melding te sturen wanneer er een nieuw account met admin-rechten wordt toegevoegd. Op deze manier hou je de controle over de admin-accounts in Office 365.

Met deze simpele tips hopen wij beheerders te helpen hun omgeving veiliger te maken. Deze tips zijn (uiteraard) niet voldoende om alle informatie in Office 365 te beveiligen, maar het zijn snelle en gemakkelijke stappen om de beveiliging te verbeteren. Mocht je hulp nodig hebben of uitgebreidere beveiligingsopties willen gebruiken dan, neem dan contact met ons op via 040-2444666 of info@ip4sure.nl.

Wij werken met veel plezier o.a. voor