Blog

News, research and insights from the Zolder team

Business E-mail Compromise (BEC): het technisch advies van het NCSC

Business E-mail Compromise (BEC): het technisch advies van het NCSC

Het NCSC publiceerde een technisch advies tegen Business E-mail Compromise (BEC). Wij zetten alle 13 fasen van een BEC-aanval en 19 maatregelen voor Microsoft 365 op een rij.

Read more →
Abusing iDEAL (Wero): how criminals weaponise legitimate payment links in phishing

Abusing iDEAL (Wero): how criminals weaponise legitimate payment links in phishing

During our security research we keep encountering the same iDEAL abuse pattern: criminals generate a real iDEAL payment link for their own purchases and trick victims into paying it. Here is how it works, why it is hard to prevent, and an open question for the iDEAL ecosystem.

Read more →
Proton Pass: Second-Password Bypass Through Emergency Access

Proton Pass: Second-Password Bypass Through Emergency Access

Proton Pass' second password is supposed to keep your vault safe even if your main account falls. Emergency Access with a wait time of None walks right past it.

Read more →
AiTM for WHFB persistence

AiTM for WHFB persistence

Abusing the amr_values=ngcmfa parameter in an AiTM attack to force MFA, then register Windows Hello for Business for stealthy persistence in Microsoft Entra ID.

Read more →
Phishing for Refresh Tokens 

Phishing for Refresh Tokens 

Adapting an AiTM tool in Cloudflare Workers to phish Entra ID authorization codes and swap them for access and refresh tokens, plus detection ideas.

Read more →
DevOps access is closer than you assume

DevOps access is closer than you assume

tldr: Azure DevOps can be accessed using multiple 1st party client ids, allowing anyone to pivot from a stolen session…

Read more →
FastHTTP bruteforce aanval: meer dan 50% organisaties doelwit

FastHTTP bruteforce aanval: meer dan 50% organisaties doelwit

Sinds 7 januari was meer dan de helft van de onderzochte organisaties doelwit van een grootschalige FastHTTP-bruteforce aanval op Microsoft 365.

Read more →
Terugkijken: AiTM sessie tijdens CyberSec NL

Terugkijken: AiTM sessie tijdens CyberSec NL

Kijk het praatje over AiTM en Token Replay terug dat Erik Remmelzwaal gaf tijdens CyberSec Netherlands in de Jaarbeurs Utrecht op 6 november 2024

Read more →
Top 5 lessons learned in defending Microsoft 365

Top 5 lessons learned in defending Microsoft 365

At an ISACA Netherlands event in Eindhoven I shared my top 5 lessons learned in defending Microsoft 365, from AiTM and token replay to a free SIEM.

Read more →
Rik namens Zolder bij EditieNL

Rik namens Zolder bij EditieNL

Zolder deed mee aan Hâck the Hague 2024 en won de 3e prijs. Rik van Duijn werd namens het team geïnterviewd door Editie NL van RTL4. Bekijk het item.

Read more →

DigiD pentest

Zolder voert DigiD-pentests uit als onderdeel van uw verplichte jaarlijkse ICT-beveiligingsassessment, op basis van de NOREA-testaanpak voor DigiD-assessments.

Read more →
MFA is de nieuwe standaard voor toegang tot Azure portals

MFA is de nieuwe standaard voor toegang tot Azure portals

Binnenkort is het zover, met een beheeraccount inloggen in Azure Portal werkt na 15 oktober alleen na versterkte authenticatie. Wij bereiden je voor op deze wijziging.

Read more →

Attic Release Notes 2024.7.0

Attic 2024.7.0 brings Configs to the mobile app, bundled Theme Tickets, a self-service profile page, a beta AI incident assistant and Partner Portal GDAP info.

Read more →

Attic Security voegt gratis AITM detectie toe  

Attic Security breidt de gratis versie uit met AiTM-detectie: bescherm je Microsoft 365 in enkele kliks tegen phishing die tweestapsverificatie omzeilt.

Read more →

Microsoft AITM honeytoken: warning the victims

We added an optional honeytoken feature to Attic that warns users in real time when they land on an AiTM phishing page, preventing the attack before it succeeds.

Read more →

Attic Release Notes 2024.3.13

Attic 2024.3.13 prepares multi-language delivery, with unified email templates, expanded admin and user management, and Partner Portal report improvements.

Read more →

Building an AITM attack tool in Cloudflare Workers (174 LOC)

We reproduced a real AiTM attack abusing Cloudflare Workers: a working MFA-bypass reverse proxy against Microsoft 365 in just 174 lines of code.

Read more →
#46 – Godfried Boshuizen

#46 – Godfried Boshuizen

Godfried Boshuizen te gast op Zolder over Bouw ISAC, Haven ISAC, FERM en hoe Attic Security bouwbedrijf Mourik digitaal weerbaarder maakt.

Read more →
Zolder B.V. ontvangt CCV Pentest Certificaat van DEKRA

Zolder B.V. ontvangt CCV Pentest Certificaat van DEKRA

Op 15 februari 2024 ontving Zolder B.V. het CCV Pentest-certificaat van DEKRA: een onafhankelijke bevestiging van de kwaliteit van onze pentestdiensten.

Read more →

Microsoft 365 AiTM detection: the lessons learned

Lessons from a month of running our Microsoft 365 AiTM phishing detection on 100+ tenants: false positives, Microsoft sandboxes, BITB and actor fingerprinting.

Read more →

Attic Release Notes 2024.2.2

Attic 2024.2.2 introduceert een nieuwe onboarding waarmee je in een paar klikken een gratis trial van twee weken voor Attic for Microsoft 365 start.

Read more →
#45 – Zolder Crew

#45 – Zolder Crew

Na een jaar stilte pakt de Zolder-crew de draad weer op: Theo, Wesley, Rik en Erik bespreken de highlights rond Attic, Sentinel, AiTM-aanvallen en meertaligheid.

Read more →

Using honeytokens to detect (AiTM) phishing attacks on your Microsoft 365 tenant

Phishing against Microsoft 365 is rising. We show how a honeytoken in your tenant login page CSS detects clones and even AiTM attacks run through Evilginx.

Read more →

Pentesting-as-a-Service: rapporten zijn ouderwets

De pentest stopt te vaak bij de PDF. Zolder gebruikt een portaal voor real-time bevindingen, directe communicatie en hertesten als standaard onderdeel.

Read more →