Bij RedTeam Cybersecurity voeren we jaarlijks vele interne pentesten uit bij organisaties door heel Nederland. Of het nu gaat om zorginstellingen, logistiek of financiële dienstverleners de techniek verschilt, maar de uitkomsten zijn opvallend vaak hetzelfde.

Sterker nog: vaak weten we al vóór de eerste scan dat we binnen enkele uren toegang zullen hebben tot gevoelige informatie of zelfs domeinrechten. Niet dankzij complexe aanvallen, maar door een handvol bekende zwakheden die steeds opnieuw opduiken. In deze blog zetten we vijf van die klassiekers op een rij inclusief wat je kunt doen om ze structureel aan te pakken.

1. SMB signing niet afgedwongen

In veel netwerken wordt SMB signing niet afgedwongen op servers. Hierdoor kunnen authenticaties worden onderschept en doorgestuurd naar systemen waar SMB signing ontbreekt, wat toegang kan geven tot gevoelige delen van het netwerk.

Wat je moet doen: SMB signing verplicht op alle servers, verouderde protocollen als LLMNR en WPAD uitgeschakeld, toegang tot gevoelige endpoints beperken.

Wat we vaak zien: SMB signing wordt niet afgedwongen, netwerkservices staan onnodig open, en er is geen inzicht in de impact van relaying.

2. Zwakke en hergebruikte wachtwoorden

Hoewel veel organisaties denken dat zwakke wachtwoorden verleden tijd zijn, raden wij ze in de praktijk nog regelmatig tijdens een eenvoudige password spraying-aanval. Denk aan combinaties als `Welkom01`, `Zomer2024`, `Bedrijfsnaam01` of `Beheer123`. Daarnaast worden wachtwoorden vaak hergebruikt tussen domeinaccounts en lokale beheerdersaccounts iets wat met LAPS eenvoudig te voorkomen is.

Wat je moet doen: Sterk wachtwoordbeleid, unieke wachtwoorden per systeem, wachtwoordkluis voor beheerders, MFA waar mogelijk, en LAPS actief voor lokale admin accounts.

Wat we vaak zien: Hergebruikte wachtwoorden voor domein- en lokale accounts, zwakke combinaties in dienstaccounts of GPO’s, geen lockouts op serviceaccounts.

3. ADCS misconfiguraties

Active Directory Certificate Services (ADCS) wordt steeds vaker misbruikt binnen netwerken. Onveilig ingerichte templates of onvoldoende toegangsbeperkingen maken het mogelijk om certificaten te verkrijgen waarmee je jezelf als andere gebruiker kunt voordoen inclusief domain admins. Dit leidt regelmatig tot volledige overname van het domein.

Wat je moet doen: Alleen geverifieerde gebruikers mogen certificaten aanvragen, geen misbruikbare templates beschikbaar, toegangscontrole op CA-servers scherp ingesteld.

Wat we vaak zien: Templates met te ruime permissies, onvoldoende controle op schrijfrechten, geen monitoring op certificaatgebruik.

4. Shares vol gevoelige informatie

Open shares én SharePoint-omgevingen blijven een goudmijn voor pentesters. Naast scripts met wachtwoorden in plaintext vinden we hier ook vaak Excelbestanden of documenten met gedeelde inloggegevens, configuraties en gevoelige bedrijfsinformatie. Veelal kunnen gewone domain users deze zonder beperkingen inzien.

Wat je moet doen: Share-permissies gebaseerd op het principe van least privilege, gevoelige bestanden versleuteld of afgeschermd, periodieke scans op wachtwoorden en gevoelige content.

Wat we vaak zien: Iedereen heeft leesrechten op shares en SharePoint, er is geen controle op inhoud, en wachtwoorden worden gedeeld in documenten, scripts of exports.

5. Beperkte segmentatie, monitoring en response

Zonder goede netwerksegmentatie is het voor een aanvaller eenvoudig om zich lateraal door het netwerk te bewegen. Combineer dat met onvoldoende logging én een onduidelijke of ontbrekende incident response, en je weet pas dat het fout gaat als het te laat is.

Wat je moet doen: Interne segmentatie tussen werkplekken, servers en beheersystemen; logging van authenticatie, laterale beweging en privilege escalatie; duidelijke procedures en verantwoordelijkheden voor opvolging van verdachte gebeurtenissen.

Wat we vaak zien: Plat of zeer beperkt gesegmenteerd netwerk, geen filtering tussen segmenten, logging staat aan maar wordt niet actief opgevolgd of een beperkt aantal aanvallen is maar inzichtelijk, incident response ontbreekt of is onbekend binnen de organisatie.

Wat kun je doen om beter beslagen ten ijs te komen bij een pentest?

  • Controleer of SMB signing verplicht is op alle servers.
  • Voer een wachtwoordaudit uit inclusief serviceaccounts, scripts en lokale accounts (gebruik LAPS).
  • Scan je ADCS-configuratie op misbruikbare templates.
  • Controleer share- en SharePoint-permissies op gevoelige data.
  • Segmenteer je netwerk, stel detectieregels in en zorg voor duidelijke incident response processen.

Wil je weten hoe jouw netwerk er écht voor staat? Laat het niet afhangen van aannames of standaardconfiguraties. Bij RedTeam Cybersecurity kijken we niet alleen naar wat er op papier staat, maar laten we in de praktijk zien wat een aanvaller kan bereiken.

Neem contact met ons op voor een vrijblijvende intake. Eén pentest zegt vaak meer dan duizend scans.