Kontakt

Password spraying mod Microsoft 365: Det stille login-angreb i SMV’er

FORFATTER

Oliver Magaard

Executive Summary

Password spraying er et stille login-angreb, hvor en angriber prøver få, almindelige adgangskoder på tværs af mange brugere i stedet for at hamre løs på én konto. Det gør angrebet svært at opdage med klassiske alarmer, fordi ingen enkelt bruger nødvendigvis rammer grænsen for for mange mislykkede loginforsøg. For en cloud-baseret SMV med Microsoft 365 eller Google Workspace kan det være nok til at finde én svag konto og derfra overtage mail, filer eller adgang til andre systemer.

Det her er ikke kun et IT-problem. Det er et ledelsesproblem, fordi konsekvensen ofte er tab af drift, falske betalingsflows, kompromitteret mail og unødig tid brugt på oprydning. Microsoft beskriver selv password spray som et angreb, der kræver logning, korrelation og målrettet overvågning for at blive opdaget, og Microsoft anbefaler samtidig phishing-resistente metoder som passkeys og FIDO2 frem for kun passwords og klassisk MFA. Verizon peger desuden på, at stjålne credentials stadig spiller en stor rolle i brud, blandt andet i webangreb, hvor 88 procent af de rapporterede brud i den kategori involverede stjålne credentials. Microsoft, Microsoft Entra, Verizon DBIR

Den korte løsning er enkel. Kræv MFA eller helst passkeys på alle brugere, luk for legacy-login, og få en fast minimumsrapport fra IT eller din MSP om mislykkede logins, lockout-politikker, risikofyldte sign-ins og tegn på konto-overtagelse. Hvis du vil teste, om virkeligheden matcher politikken, giver et lille pentest-scope mod identitetsfladen et mere ærligt billede end endnu en powerpoint.

Sådan virker password spraying i praksis

Forestil dig en angriber, der har fundet en liste over jeres medarbejderes mailadresser. Det kan være via hjemmesiden, LinkedIn, tidligere datalæk eller helt almindelige gæt som fornavn.efternavn. I stedet for at angribe én direktørkonto med 500 forsøg, prøver angriberen måske blot ét eller to meget almindelige passwords på 200 brugere. Dagen efter prøver de et nyt password. Tempoet er lavt, men metoden er effektiv.

Det er netop derfor, password spraying ofte går under radaren. Klassiske låsepolitikker og simple alarmer er tit designet til at reagere på mange forsøg mod én konto. Her fordeles støjen i stedet ud over hele brugerbasen. Microsofts egen incident response-guide fremhæver blandt andet store mængder mislykkede sign-ins, spikes fra bestemte IP-adresser, uventede MFA-prompts og behovet for at filtrere på succesfulde logins fra samme periode og IP som centrale signaler i en undersøgelse. Microsoft

For en dansk SMV ser det ofte mindre dramatisk ud end på film. Ingen røde blink. Ingen krypterede servere den første dag. Bare en konto, der pludselig logger ind fra et nyt sted, en medarbejder der får en underlig MFA-anmodning, eller en mailregel der bliver oprettet uden god grund. Derfor bør angrebet forklares som forretningsrisiko og ikke som nørdet angrebsteknik.

Hvorfor SMV’er er et oplagt mål

SMV’er er attraktive, fordi mange er langt i cloud-rejsen men ikke altid lige langt i identitetssikkerheden. Microsoft 365 og Google Workspace gør hverdagen lettere, men de gør også loginfladen til en hoveddør mod mail, dokumenter, Teams, Drive og ofte andre integrerede forretningssystemer.

I praksis ser vi ofte tre mønstre i markedet. MFA er ikke slået konsekvent til for alle. Legacy authentication eller ældre protokoller er stadig åbne af hensyn til gamle enheder eller applikationer. Og adgangskoder er stadig svagere, mere genbrugte eller mere forudsigelige, end ledelsen tror. NCSC anbefaler en opdateret tilgang til passwords, hvor organisationer bevæger sig væk fra at stole på passwords alene og i stedet kombinerer stærkere autentificering med bedre styring af loginprocessen. NCSC

Det gør password spraying skalerbart. Angriberen behøver ikke en målrettet kampagne mod din virksomhed. Det er nok, at du ligner mange andre. Har din virksomhed 60, 120 eller 300 brugere, er der en reel sandsynlighed for, at mindst én konto har et password, som var godt nok for tre år siden, men ikke i dag.

De tre beslutninger der flytter risikoen mest

Ledelsen behøver ikke tage stilling til alle tekniske detaljer. Du skal derimod tage stilling til tre beslutninger, som reducerer risikoen markant og kan følges op i drift.

Første beslutning er at gøre stærk loginbeskyttelse til standard. Microsoft anbefaler phishing-resistente metoder som passkeys og FIDO2, fordi traditionelle MFA-metoder som SMS, mailkoder og app-godkendelser stadig kan udsættes for phishing og skaber mere friktion. Hvis passkeys ikke kan rulles bredt ud med det samme, bør minimum være MFA på alle konti uden undtagelser, og admin-konti bør gå forrest. Microsoft Entra

Anden beslutning er at blokere legacy auth. Hvis ældre loginmetoder stadig er tilladt, åbner du i praksis en bagdør, som angribere aktivt tester. Mange virksomheder tror, at de er beskyttet af MFA, men glemmer at enkelte gamle protokoller eller undtagelser kan omgå de nyere kontroller.

Tredje beslutning er at definere minimumskrav til overvågning og lockout-politikker. Ikke som et teknisk ønske, men som et ledelseskrav. Din IT-ansvarlige eller MSP skal kunne vise, hvordan mislykkede logins overvåges på tværs af mange brugere, hvilke tærskler der udløser undersøgelse, hvordan risikofyldte sign-ins gennemgås, og hvordan en mistænkelig konto bliver håndteret hurtigt. Microsofts playbook peger specifikt på korrelation mellem mislykkede og succesfulde sign-ins, kendte angrebs-IP’er, MFA-signaler og efterfølgende mistænkelig aktivitet som centrale kontroller. Microsoft

Hvilke signaler ledelsen bør kræve overvåget

Hvis du sidder i ledelsen, er det sjældent nyttigt at få 40 sider rå logs. Du har brug for en lille, fast rapport, som kan læses på få minutter og som gør det tydeligt, om virksomheden er på forkant eller på bagkant.

Bed derfor om, at IT eller din MSP som minimum kan rapportere på følgende:

  • Antal mislykkede loginforsøg fordelt på mange brugere over tid
  • Top IP-adresser eller geografier bag mislykkede loginforsøg
  • Antal succesfulde logins efter bølger af mislykkede forsøg
  • Konti uden MFA eller med svage undtagelser
  • Tegn på legacy authentication eller gamle protokoller i brug
  • Konti med uventede MFA-prompts eller mistænkelige risikoflag
  • Lockout- og smart lockout-politikker og om de faktisk virker efter hensigten

Det vigtige er ikke kun at have data. Det vigtige er at kunne handle på data. Hvis din MSP ikke kan forklare, hvordan de opdager et lavt og bredt loginmønster på tværs af mange konti, så er du i realiteten afhængig af held. Og det er ikke en styringsmodel.

Hvis du vil sætte emnet i system, kan et sikkerhedstjek af Microsoft 365 eller Google Workspace være en hurtig måde at få verificeret opsætning, undtagelser og synlighed i loginmiljøet. Når der også er behov for at teste, hvordan en angriber faktisk vil arbejde mod identitetsfladen, er næste skridt et målrettet pentest.

De spørgsmål du bør stille din IT-ansvarlige eller MSP

Du behøver ikke spørge ind til kommandoer og dashboards. Du skal spørge, så du kan høre, om der er styring bag svarene.

  • Er MFA tvunget på alle brugere, også eksterne og admin-konti?
  • Hvor langt er vi med passkeys eller andre phishing-resistente loginmetoder?
  • Har vi stadig legacy authentication aktiv nogen steder, og hvorfor?
  • Hvordan opdager I password spraying, når forsøgene fordeles på mange brugere?
  • Hvilke alarmer går til hvem, og hvor hurtigt reagerer vi?
  • Kan I vise en månedlig rapport over mislykkede og risikofyldte sign-ins?
  • Hvad er vores procedure, hvis en konto ser ud til at være ramt?
  • Hvornår testede vi sidst identitetsfladen realistisk?

Hvis svarene er uklare, er det i sig selv et signal. God identitetssikkerhed handler ikke kun om at have funktioner slået til. Det handler om, at nogen ejer området, følger op og kan dokumentere det for ledelsen i et sprog, der giver mening.

Brug pentest som beslutningsværktøj, ikke som teknisk rapport

Password spraying er også et godt eksempel på, hvorfor pentest skal afgrænses skarpt. Mange SMV’er bestiller en bred test og får en rapport, der er for teknisk og for spredt til at hjælpe ledelsen. Her giver et mini-scope mere værdi.

Et relevant mini-scope kan være afgrænset til identitetsfladen omkring Microsoft 365 eller Google Workspace. Formålet er ikke at skabe drama. Formålet er at teste, om de vigtigste antagelser holder i praksis. Er MFA virkelig tvunget? Er legacy-login lukket? Kan almindelige brugeridentiteter gættes og prøves uden at blive opdaget? Bliver mistænkelige loginmønstre faktisk fanget?

For ledelsen bør leverancen ikke kun være en teknisk rapport. Den bør også indeholde et kort decision brief med tre dele: hvad der blev testet, hvad der blev fundet, og hvilke få beslutninger der reducerer risikoen hurtigst. Hvis du vil løfte emnet bredere i organisationen, giver det mening at koble det med awareness-træning, så medarbejdere forstår, hvorfor loginbeskyttelse og adfærd hænger sammen.

Næste skridt for din virksomhed

Tag 30 minutter i denne uge og bed om tre konkrete beviser fra IT eller din MSP: en liste over konti uden stærk MFA, dokumentation for at legacy authentication er blokeret, og en månedlig rapport der viser mislykkede loginforsøg på tværs af brugere. Hvis de tre ting ikke findes i dag, har du et klart sted at starte.

Få derefter afgrænset et lille test-scope mod jeres cloud-login og bed om en ledelsesvenlig tilbagemelding, ikke kun en teknisk rapport. Det er sådan, du gør password spraying til et praktisk ledelsesemne i stedet for endnu en skjult risiko, der først bliver synlig, når skaden er sket.