Pentesting Microsoft 365: Avancerede Strategier for Phishing & Vishing
I takt med at virksomheder har flyttet deres arbejdsgange til Microsoft 365 (M365), er angrebsfladen skiftet fra traditionel perimeter-sikkerhed til identitetsbaserede angreb. Som pentester er det ikke længere nok at sende et link til en falsk login-side; vi skal kunne omgå Multi-Factor Authentication (MFA) og udnytte de indbyggede protokoller i økosystemet.
Denne artikel gennemgår konkrete strategier for Spear Phishing og Vishing, der specifikt udnytter arkitekturen i Microsoft 365.
1. Spear Phishing: Fra Credentials til Session Hijacking
Traditionel “credential harvesting” fejler ofte mod M365 pga. MFA. Derfor fokuserer moderne pentest-strategier på at stjæle sessionstokens frem for passwords.
Adversary-in-the-Middle (AiTM) med Evilginx
Den mest effektive metode i dag er AiTM. Ved at opsætte en reverse proxy (f.eks. med værktøjet Evilginx3), agerer pentesteren mellemmand mellem ofret og den legitime Microsoft-login-side.
- Strategi: Send en personlig mail (Spear Phishing) om et “vigtigt dokument” i SharePoint eller en “sikkerhedsopdatering” af kontoen.
- Teknik: Når ofret logger ind via din proxy, indtaster de deres credentials og gennemfører MFA direkte mod Microsoft. Din proxy opsnapper herefter den resulterende session cookie.
- Resultat: Du kan importere denne cookie i din egen browser og overtage sessionen fuldstændig – uden nogensinde at kende ofrets password eller MFA-kode.
OAuth Consent Phishing (Illicit Consent Grants)
I stedet for at stjæle en konto, kan vi narre brugeren til at give en ondsindet Azure App tilladelse til at læse deres data.
- Strategi: “Installer denne PDF-viewer for at læse den vedhæftede fil”.
- Teknik: Brugeren bliver præsenteret for et officielt Microsoft-vindue, der beder om rettigheder (f.eks.
Mail.ReadellerFiles.Read). - Fordel: Adgangen er vedvarende (via refresh tokens) og overlever ofte et password-skift.
2. Voice Phishing (Vishing) i et M365 Kontekst
Vishing er ekstremt effektivt til at forcere hastighed og skabe autoritet. I en M365-kontekst bruges det ofte til at guide ofret gennem komplekse tekniske flows.
”Device Code Flow” Eksploitering
Dette er en af de stærkeste vishing-teknikker mod organisationer med stærk MFA.
- Reconnaissance: Find navnet på en IT-medarbejder via LinkedIn.
- Opkaldet: Ring til ofret og udgiv dig for at være fra IT-support. Fortæl at der er “uregelmæssigheder” i deres kontosynkronisering.
- Instruktion: Bed ofret om at gå til den legitime side
microsoft.com/devicelogin. - Angrebet: Pentesteren genererer en kode på sin egen maskine og giver den til ofret over telefonen.
- Payload: Når ofret indtaster koden og godkender på deres egen maskine (med deres egen MFA), logger de i virkeligheden pentesterens maskine ind på deres konto.
MFA Fatigue & Push Spam
Hvis man har ofrets credentials (f.eks. fra et tidligere læk), kan vishing kombineres med MFA-spam.
- Teknik: Send 20 push-notifikationer til ofrets telefon. Ring derefter med det samme og sig: “Vi kan se, at din konto bliver hacket lige nu. Jeg sender en sidste notifikation, som du skal trykke ‘Godkend’ på for at blokere angrebet.”
- Psykologi: Ofret føler stress og agerer impulsivt for at stoppe støjen fra de mange notifikationer.
3. Forsvarsmekanismer og Hardening
Som pentester er målet altid at efterlade kunden med bedre sikkerhed. Her er de vigtigste anbefalinger til at imødegå disse angreb:
- Phishing-resistent MFA: Flyt brugere fra SMS/Push til FIDO2-nøgler eller Microsoft Authenticator med “Number Matching”. AiTM kan ikke proxy’e en fysisk FIDO2-nøgle.
- Conditional Access Policies: Begræns adgang fra ukendte lande, bloker “Legacy Authentication” og kræv “Compliant Devices” for adgang til følsomme data.
- Token Protection: Aktivér funktioner i Entra ID, der binder sessionstokens til den specifikke enhed, de blev udstedt til.
- Brugeruddannelse: Træn medarbejdere i at genkende “IT-support”, der beder om usædvanlige handlinger som Device Login eller hurtig godkendelse af push-notifikationer.
Konklusion
Phishing mod Microsoft 365 handler i dag mindre om at snyde maskiner og mere om at manipulere identitetsprotokoller og menneskelig psykologi. Ved at kombinere Spear Phishing med tekniske værktøjer som Evilginx og understøtte det med målrettet Vishing, kan en pentester demonstrere de reelle risici, som moderne virksomheder står overfor.
Relevante Værktøjer til Pentest:
- Evilginx3: Reverse proxy til AiTM.
- GoPhish: Framework til styring af phishing-kampagner.
- Microsoft 365 Extractor: Til at analysere indholdet af en overtaget konto.
Kilder
- GitHub: kgretzky/evilginx2 - Officielt GitHub-repository for Evilginx AiTM-frameworket med installationsvejledning og teknisk dokumentation.
- GitHub: gophish/gophish - Officielt GitHub-repository for GoPhish phishing-kampagnestyringsframeworket.
- Microsoft Security Blog: AiTM Phishing Attack Defense - Microsofts officielle tekniske analyse og forsvarsstrategier mod AiTM-phishingangreb, direkte relevant for artiklen.
- Microsoft Entra ID: Conditional Access Documentation - Officiel dokumentation for Conditional Access Policies – det primære forsvarsmiddel mod AiTM.
- MITRE ATT&CK: Phishing (T1566) - MITRE’s klassificering af phishingteknikker med undertyper og kendte trusselsaktører.
> Quiz: Test din viden
1. Hvad er AiTM en forkortelse for?
2. Hvad opsnapper AiTM med Evilginx, selvom MFA er aktiveret?
3. Hvad narrer OAuth Consent Phishing brugeren til at gøre?
4. Til hvilken angrebsteknik bruges Device Code Flow Eksploitering?