Attack Paths in Microsoft Defender

Hoe ontstaan attack paths in Microsoft 365-omgevingen?

• Herbruikte of bewaarde referenties: Een admin die met zijn beheerdersaccount aanmeldt op een gewone werkstation houdt daar zijn credentials achter. Een aanvaller die die PC compromitteert, vindt in het geheugen of in cache de admin-hash en kan zo verder springen naar server- of domein-niveau (klassiek Pass-the-Hash scenario). Dit wordt versterkt als overal hetzelfde lokale admin-wachtwoord wordt gebruikt – compromitteer één machine en je hebt daarna admin-toegang op álle machines.
• Overdreven permissies & groepslidmaatschappen: Gebruikers die lid blijven van oude (gevoelige) groepen, of service accounts met te hoge privileges. Een aanvaller die zo’n account in handen krijgt, erft meteen veel toegangen. Lateral movement paths ontstaan vaak doordat een niet-gevoelige gebruiker indirect toegang kan krijgen tot gevoelige accounts via gemeenschappelijke groepen of machines. Bijvoorbeeld: gebruiker A is lokale admin op PC1; admin B logt ooit in op PC1; nu bestaat er een pad van A’s account naar B’s adminrechten via PC1. Zulke relaties kunnen in complexe Microsoft 365/AD omgevingen lastig te doorzien zijn zonder de juiste tools.
• Beschikbaarheid van interne diensten voor alle clients: Standaard kunnen Windows-clients elkaar benaderen via protocollen als SMB (file sharing) of WMI. Aanvallers misbruiken dit door eens binnen, vanuit één gecompromitteerde machine agressief rond te scannen en verbinding te maken met anderen (bijv. via SMB voor lateral movement of om tools te kopiëren). Als intern geen strikte segmentatie of firewalling is, beweegt een aanvaller zich vrijwel ongehinderd van de ene pc naar de andere.
• Gebrek aan multi-factor en legacy protocollen: In Microsoft 365 cloud context zien we dat aanvalspaden ook ontstaan door zwakke identity-hygiene. Bijvoorbeeld: een gebruiker zonder MFA die slachtoffer wordt van phishing – de aanvaller heeft dan een geldig cloudtoken. Via legacy protocollen (die geen MFA vereisen, zoals oude POP/IMAP) kan hij daarmee andere diensten benaderen. Of stel: een gelekte gebruikerslogin die toevallig globale admin-rechten heeft behouden “voor de zekerheid”. Dit zijn paden die makkelijk te misbruiken zijn door aanvallers en vaak onder de radar blijven.

Technische Analyse van aanvalspaden en verdediging

In deze sectie analyseren we hoe de Microsoft-beveiligingsstack aanvalspaden identificeert en blokkeert. We bespreken De relevante mogelijkheden binnen Microsoft Defender die helpen bij het blootleggen of blokkeren van attack paths

Microsoft Defender for Identity

Voor on-premises Active Directory omgevingen die gekoppeld zijn met Microsoft 365, is Defender for Identity een essentiële tool. Eén van de key features is het identificeren van Lateral Movement Paths (LMP’s). Dit zijn visuele paden die laten zien hoe een aanvaller van een standaard account naar een gevoelig account zou kunnen bewegen binnen je AD-domain.

Cruciaal: Defender for Identity markeert de “Riskiest lateral movement paths” als een security assessment. Accounts met 3 of meer tussenliggende hops van niet-gevoelige naar gevoelige accounts worden gezien als risicovol. Aanbevolen acties zijn dan bijvoorbeeld: verwijder die gebruiker uit de lokale admin-groep, of gebruik een apart account voor administratie op die machine. Dit sluit het pad. Met andere woorden, Defender for Identity geeft je een concreet lijstje van kwetsbare routes in je netwerk die je moet dichten – een enorme hulp om prioriteit te bepalen.

Tip: Microsoft Defender for Identity integreert met Secure Score en levert ~27 aanbevelingen die je score verhogen. Veel daarvan draaien rond het verminderen van laterale bewegingskansen – zoals “Verwijder gebruikers uit hoogbevoegde groepen” of “Los onveilige protocolinstellingen op”.

Door deze acties uit te voeren verbeter je niet alleen je score, maar elimineer je ook aanvalspaden.

Microsoft Defender for Endpoint

Aan de endpoint-kant (Windows 10/11 clients en servers) is Attack Surface Reduction een krachtig verdedigingsmechanisme. ASR bestaat uit een set regels die bepaalde risicovolle acties op systeemniveau simpelweg blokkeren of beperken. Dit verkleint het aanvalsoppervlak dramatisch en breekt vaak een cruciale schakel in de kill chain van een aanval. Enkele relevante ASR-regels m.b.t. lateral movement en privilege escalation:

• Blokkeer credential diefstal uit LSASS: Deze regel voorkomt dat onbevoegde processen wachtwoorden of hashes uit het geheugenproces LSASS lezen. Dit stopt tools als Mimikatz die credentials dumpen (MITRE ATT&CK T1003) en voorkomt dat een aanvaller de inloggegevens van andere gebruikers op het systeem buitmaakt, een typische voorbereiding voor laterale beweging.
• Blokkeer procescreatie via PSExec/WMI: Deze regel verhindert dat een proces op afstand wordt gestart via tools als PsExec of via WMI calls. Aanvallers die van machine A naar B willen bewegen gebruiken vaak dergelijke remote execution technieken (MITRE T1021 Remote Services). Met ASR actief loopt zo’n poging dood: het commando wordt simpelweg niet uitgevoerd op de doelmachine.
• Blokkeer code-injectie en malafide macro’s: Er zijn ook ASR-regels die voorkomen dat Office-applicaties onverwachte child-processen starten of code in andere processen injecteren. Dit is vooral gericht op het aanvalsbegin (bijv. een Word macro die een backdoor installeert). Door deze routes dicht te zetten, wordt het voor een aanval al moeilijker om voet aan de grond te krijgen, en daarmee indirect moeilijker om een lateraal traject op te starten.

Microsoft raad minstens de standaard set ASR-regels altijd aan te zetten, omdat die weinig impact hebben op eindgebruikers.

Daar horen de LSASS-bescherming en WMI/PsExec-blokkade bij. In auditlogs kun je vervolgens zien of er legitieme software is die toch zo’n actie nodig heeft, zodat je gericht uitzonderingen kunt maken. Over het algemeen leveren ASR-regels echter een hoge beveiligingswinst op: veel aanvalstechnieken die anders lastig te detecteren zijn, worden op voorhand geneutraliseerd. Zo snij je potentiële aanvalspaden al af voordat ze gebruikt kunnen worden.

Threat Analytics

Naast preventieve maatregelen is ook inzicht in dreigingen belangrijk. Microsoft 365 Defender bevat hiervoor Threat Analytics, een ingebouwde threat intelligence-module. Hierin publiceren Microsoft’s security-experts actuele rapporten over opkomende threats, campagnes van threat actors en nieuwe kwetsbaarheden.

Stel, er verschijnt een Threat Analytics-rapport over een nieuwe ransomware die zich verspreidt via een bepaald lek of misconfiguratie. Het rapport laat zien hoe de aanval verloopt (bijv. “de malware verplaatst zich lateraal via open SMB-shares”) en geeft concrete mitigatie-tips. Bovendien zie je in je eigen dashboard of er in jouw omgeving al alarmsignalen of kwetsbare systemen zijn gerelateerd aan die dreiging.

Threat Analytics fungeert dus als een early warning systeem. Het geeft proactief inzicht in waar je mogelijk aanvalspaden hebt die nu in trek zijn bij aanvallers. Je SecOps-team kan direct controleren of de aanbevolen acties (patchen, configuraties aanpassen) zijn uitgevoerd. In het kader van Zero Trust en voortdurend verbeteren is dit erg waardevol, je verdediging wordt steeds threat-informed. Organisaties die threat intelligence actief gebruiken, dichten gaten vaak voordat ze door een echte aanval geëxploiteerd worden.

Kortom, Microsoft 365 Defender biedt een breed scala aan mogelijkheden om aanvalspaden aan te pakken: van het in kaart brengen van paden (Defender for Identity LMP’s), tot het preventief blokkeren van typische aanvalsmethodes (ASR), en het op de hoogte blijven van nieuwe tactieken (Threat Analytics). Samen vormen deze tools een meerlaagse defensie die ontworpen is om laterale beweging vroeg te stoppen of volledig te voorkomen.

Conclusie

Attack paths vormen de verborgen sluipwegen die een aanvaller benut bij een cybersecurity-inbraak. Deze paden ontstaan uit onze eigen infrastructuur – door gebruikers die op meerdere systemen inloggen, door wachtwoorden die ergens blijven hangen, of door permissies die uit gemak iets te ruim zijn.

• Ken je netwerk en identiteiten: Gebruik tools als Defender for Identity om blootliggende routes inzichtelijk te krijgen en corrigeer ze. Monitor welke accounts waar inloggen en haal LAPS in huis om credential-reuse te stoppen.
• Hardening is key: Schakel die Attack Surface Reduction regels in, ze geven weinig hinder maar voorkomen hele klassen van aanvalstechnieken. Dicht onnodige “deuren” in het netwerk met firewalls en segmentatie. Elk dichtgetimmerd luik dwingt de aanvaller tot riskantere, luidruchtiger methodes die je makkelijker merkt.
• Identity & Access Management: Implementeer strikte toegangscontroles. MFA overal, geen legacy auth. Maak van je admins geen permanente goden maar geef ze liefst JIT-toegang.
• Gebruik Secure Score als gids: Secure Score laat zien waar jouw grootste gaten zitten en of je progressie boekt. Het is een uitstekende kapstok om een verbeterplan aan op te hangen en intern ook management mee te krijgen (“onze score is nu 45%, streven naar 80% binnen half jaar door X, Y, Z te doen”). Veel Secure Score acties hebben direct invloed op het elimineren van attack paths.

PS:Benieuwd hoe jouw organisatie ervoor staat op het gebied van aanvalspaden en algemene security hygiëne? Laat ons een Secure Workspace Scan uitvoeren. Hierbij meten we je huidige Microsoft Secure Score, analyseren we blootgestelde attack paths en geven we een gericht actieplan om je omgeving te versterken. Neem vandaag nog contact op, voorkom dat jij het volgende doelwit wordt en blijf de aanvaller een stap voor!