Waarom je nooit wachtwoorden in het “Omschrijving” veld moet opslaan
Ik voer vaak pentesten uit op het netwerk van een organisatie. In 99 van de 100 keer is dat een Microsoft AD netwerk. Eén van de eerste dingen die ik altijd uitvoer is het inloggen zonder gebruikersnaam of wachtwoord op het netwerk om te zien wat ik mag en terugkrijg. Zo ga ik op zoek naar de gebruikersnamen, de shares en andere interessante info zoals de password policy.
Wat me opvalt is dat er soms te makkelijk wordt omgegaan met wachtwoorden: ze staan simpelweg in het omschrijvingsveld van de gebruiker.
Overigens: met geldige credentials is het nog makkelijker om dit te doen…
Het Omschrijvingsveld als verborgen opslag voor wachtwoorden
Het omschrijvingsveld is in het eerste geval bedoeld om informatie weer te geven over de rol of functie van een gebruiker binnen een organisatie of andere informatie op te slaan die bij een gebruiker hoort maar zeker geen secrets. Maar wat ik vaak aantref, is dat dit veld fungeert als een soort clandestiene opslagplaats voor wachtwoorden. Je moet je voorstellen dat er dus letterlijk een wachtwoord staat in dit veld.
Nog alarmerender is het feit dat deze wachtwoorden vaak afkomstig zijn van service accounts, die op hun beurt deel vaak uitmaken van beheerdersgroepen. Een kwaadwillende die toegang krijgt tot dit wachtwoord, kan snel het netwerk compromitteren en aanzienlijke schade aanrichten.
Security practices en bewustzijn
Deze ontdekking werpt een interessant licht op de dagelijkse praktijken van bedrijven en hoe sommige aspecten van security over het hoofd worden gezien. Vaak weten beheerders niet dat dit veld gewoon te lezen is voor andere gebruikers op het netwerk als je je onderzoek maar goed doet. Daarom is het belangrijk te weten dat je dit veld enkel voor “gewone zaken” moet gebruiken en niet voor secrets. Dus een korte omschrijving van wie het account is, is vaak prima of waar het voor gebruikt wordt als dit niet direct uit de naam af te leiden is is ook prima. Maar ga je het gebruiken als “tijdelijke” reminder dan is dat zeker geen goed idee.
Een belangrijke tip: controleer je omschrijvingsvelden
Het is dus gewoon belangrijk om als beheerder regelmatig je Active Directory en andere systemen te controleren op dergelijke onbedoelde informatielekken. Het opslaan van wachtwoorden in het omschrijvingsveld is een slechte gewoonte die moet worden aangepakt. Zorg ervoor dat medewerkers zich bewust zijn van de juiste procedures voor het beheren van gevoelige informatie en wachtwoorden, en implementeer indien nodig technische controles om dergelijke praktijken te voorkomen.
Meer weten over pentesting?
Wil je meer weten over het laten uitvoeren van een pentest op jouw netwerk? Neem gerust contact met me op voor meer informatie en advies op maat. Het uitvoeren van een pentest kan helpen om potentiële kwetsbaarheden en risico’s binnen jouw organisatie bloot te leggen, waardoor je proactief kunt handelen om je beveiligingsmaatregelen te versterken en je bedrijf te beschermen tegen cyberdreigingen.