Assume breach: hoe één kwetsbaarheid bij een MSP toegang gaf tot meerdere klanten
Steeds meer organisaties besteden hun IT-infrastructuur uit aan een Managed Service Provider (MSP). Een MSP beheert cruciale onderdelen zoals servers, werkplekken, netwerken en opslag. Daarbij wordt vaak gebruikgemaakt van Active Directory voor het beheren van gebruikersaccounts, rechten en toegangscontrole.
Er zijn grofweg twee manieren waarop een MSP de infrastructuur van klanten kan beheren. De eerste is het opzetten van een volledig gescheiden infrastructuur per klant. Dit biedt maatwerk en verhoogt de veiligheid, doordat elke klantomgeving afgeschermd is. De tweede optie is een gedeelde infrastructuur, waarbij meerdere klanten gebruikmaken van dezelfde systemen en middelen. Dit is kostenefficiënt, maar brengt extra complexiteit en beveiligingsrisico’s met zich mee.
Een belangrijke uitdaging binnen gedeelde infrastructuren is het omgaan met verouderde systemen en configuraties. In Active Directory kunnen legacy-elementen aanwezig zijn die ontstaan zijn door langdurig gebruik en de ondersteuning van oudere klantomgevingen. Hoe meer klanten met verschillende eisen en systemen, hoe groter het risico op kwetsbaarheden en incompatibiliteit. Deze elementen vergroten het aanvalsoppervlak, zeker wanneer een fout of kwetsbaarheid bij één klant gevolgen heeft voor anderen.
In deze blog beschrijven we een realistisch scenario, uitgevoerd door onze dochterorganisatie RedTeam. Daarbij werd een gedeelde Active Directory-omgeving gecompromitteerd, met als gevolg toegang tot meerdere klantomgevingen die op dezelfde infrastructuur waren aangesloten.
Het scenario: Assume breach in praktijk
De penetratietest werd uitgevoerd volgens een “assume breach”-aanpak. Hierbij wordt ervan uitgegaan dat een aanvaller al toegang heeft tot een systeem binnen het interne netwerk. Denk aan een geslaagde phishingaanval of een insider threat, waarbij bijvoorbeeld het werkstation van een medewerker is overgenomen. Dit type scenario is van groot belang, omdat het inzicht geeft in wat een kwaadwillende daadwerkelijk kan bereiken zodra hij binnen is.
Fase 1: Initiële toegang
De initiële toegang werd verkregen door in te loggen met gebruikersrechten vergelijkbaar met die van een stagiair. De inloggegevens werden aangeleverd door de opdrachtgever. De eerste verkenning van het netwerk leverde weinig directe aanvalsmogelijkheden op, mede dankzij de eerder genomen segmentatiemaatregelen.
Fase 2: Laterale beweging
Tijdens verdere netwerkverkenning ontdekte RedTeam een kwetsbaarheid in het interne netwerk. Deze werd benut om een verbinding op te zetten vanaf de klantlocatie naar andere netwerken. Zo kreeg RedTeam toegang tot delen van het netwerk die verbonden waren aan het datacenter van de MSP.
Fase 3: Exploitatie
Met expliciete toestemming van de MSP werd het onderzoek in dit netwerk voortgezet. Daarbij werd een kwetsbaarheid gevonden waarmee domeinbeheerrechten (domain admin) konden worden verkregen. Met deze rechten kreeg RedTeam volledige controle over het Active Directory-domein.
Vervolgonderzoek toonde aan dat alle klanten van de MSP binnen hetzelfde Active Directory-domein waren ondergebracht. Hierdoor kon RedTeam zich lateraal verplaatsen naar andere klantomgevingen. Daarbij werd onder andere toegang verkregen tot bestanden van andere klanten.
Een kwaadwillende partij zou ditzelfde pad kunnen volgen. De impact daarvan is aanzienlijk: denk aan grootschalige ransomware-aanvallen, diefstal van vertrouwelijke documenten of ernstige reputatieschade voor zowel de MSP als de betrokken klanten.
Conclusie: Is jouw MSP een risico?
Het gebruik van een gedeelde infrastructuur bij een MSP brengt risico’s met zich mee, waaronder het gevaar van supply chain-aanvallen. Daarom is het essentieel om kritisch te beoordelen of deze risico’s ook gelden voor jouw organisatie.
Dat begint bij transparantie: weet je hoe je MSP de infrastructuur heeft ingericht? Worden omgevingen gescheiden gehouden? En worden kwetsbaarheden tijdig opgespoord en verholpen?
Onze dochterorganisatie RedTeam benadrukt het belang van regelmatige evaluatie van Active Directory en netwerkarchitectuur. Zeker in omgevingen waarin meerdere klanten dezelfde infrastructuur delen, is dit cruciaal om grip te houden op veiligheid en risico’s te beheersen.
Laat RedTeam jouw IT-omgeving testen
Benieuwd naar wat een assume breach penetratietest in jouw organisatie kan blootleggen? Of wil je inzicht in de weerbaarheid van je IT-diensten?
Onze dochterorganisatie RedTeam voert realistische penetratietests uit, gebaseerd op actuele aanvalstechnieken. Volledig gecontroleerd en met heldere rapportages, zodat je precies weet waar je staat.
Neem contact met ons op voor een vrijblijvend gesprek over de mogelijkheden.