Siber güvenlik uzmanları, saldırganların bulut ortamlarına erişmek için OAuth Client ID'lerini taklit etmelerine olanak tanıyan yeni bir sinsi teknik konusunda uyarıda bulunuyor. Proofpoint analistleri tarafından yapılan araştırmaya göre, siber suçlular, daha önce Azure AD olarak bilinen Microsoft'un bulut tabanlı kimlik ve erişim yönetimi çözümü Microsoft Entra ID'yi kullanarak kayıtlı bir OAuth istemci kimliği olmadan hesaplara erişiyor. Bu tekniğin doğası, savunmacıların şüpheli etkinlikleri tespit etmesini zorlaştırırken, saldırganlara kuruluşun bulut hizmetlerine gizlice erişim sağlıyor.
Proofpoint, 13 Temmuz'da yayınladığı bir blog yazısında, OAuth istemci kimliği sahteciliğinin yeni bir teknik olarak ortaya çıktığını ve bulutu hedef alan kampanyalarda giderek daha fazla kullanıldığını belirtti. Entra oturum açma günlükleri, savunmacıların kullanıcı numaralandırma gibi kötü amaçlı kimlik doğrulama etkinliklerini belirlemesine yardımcı olan yaygın bir araçtır. Kullanıcı numaralandırma, kötü niyetli bir aktörün gerçek bir kullanıcının oturum açma kimliğini tahmin etmek veya onaylamak için kaba kuvvet ve parola püskürtme kullandığı bir saldırı tekniğidir. Ancak araştırma, saldırganların OAuth istemci kimliği sahteciliğini kullanarak Entra oturum açma günlükleri tarafından tespit edilmekten nasıl kaçındığını ve böylece kurumsal bulut hizmetlerini gizlice tehlikeye attığını ayrıntılarıyla anlatıyor.
Proofpoint, istemci kimliği sahteciliğinin, Kaynak Sahibi Parola Bilgileri (ROPC) akışını kullanarak Microsoft'un OAuth 2.0 token uç noktasına POST istekleri gönderilerek gerçekleştirildiğini açıkladı. Bu akış, kullanıcı adlarının ve parolaların doğrudan gönderilmesine izin veriyor. Bu işlem, kimliği doğrulanmamış istek sahiplerinin kullanıcı adlarının ve parolaların geçerliliğini, ayrıca çok faktörlü kimlik doğrulama veya koşullu erişim gibi sıfır güven kavramları gibi ek kontrollerin uygulanmasını anlamasına olanak tanıyan Azure Active Directory Güvenlik Belirteci Hizmeti (AADSTS) hata kodlarıyla sonuçlanıyor. Bu bilgilerle saldırganlar, hangi hesapların kullanılabileceğini belirleyebiliyor. Kritik olarak, sahte kimliklerin ve Entra ID günlüklerindeki boş alanların kullanılması, kötü amaçlı etkinliğin savunmacılar tarafından tespit edilmesini zorlaştırıyor.
Proofpoint, bu tekniği kullanan, binlerce Microsoft Entra kiracısında milyonlarca kullanıcı hesabını hedef alan birden çok büyük ölçekli kampanya izlediğini söyledi. Saldırganların, istemci kimliği sahteciliği sürecine yardımcı olmak için yaygın kullanıcı adlarını taklit etmeye çalıştıkları belirtiliyor. Blogda listelenen bazı örnekler arasında, Smith, Jones, Williams ve Johnson gibi yaygın soyadlarıyla eşleştirilmiş baş harfler yer alıyor; bu da jsmith, ajohnson ve awilliams gibi oturum açma bilgileriyle yapılan isteklere yol açıyor. Bunu yaparak saldırganlar, yalnızca adların ne kadar yaygın olduğundan değil, aynı zamanda kuruluşun kullanıcı adlarını daha karmaşık bir şeyle değiştirmesinin ne kadar düşük bir ihtimal olduğundan da yararlanıyor.
Araştırmacılar, kuruluşların daha fazla saldırganın bu tekniği kullanmanın yollarını aramasını beklemeleri gerektiği konusunda uyardı. Blog yazısında, 'Benzersiz araçlar ve altyapıya sahip birden çok kampanyanın ortaya çıkması, bu tekniğin bulut ortamlarını hedef alan tehdit aktörleri arasında ivme kazandığını gösteriyor' denildi. Proofpoint, bu taktiğe yanıt olarak savunmacıların, boş uygulama kimliklerine sahip veya karşılık gelen bir uygulama adı olmayan oturum açma günlüğü girişlerini, istemci kimliği sahteciliğinin potansiyel göstergeleri olarak ele alması gerektiğini söyledi.
Sistem Güvenliği
Ayrıca savunmacıların, bir AADSTS700016 hata kodunun yalnızca başarısız bir oturum açma girişimi değil, aynı zamanda tehlikeye atılmış kimlik bilgilerinin bir işareti olabileceği konusunda uyanık olmaları önerildi. Bu yeni saldırı tekniği, bulut güvenliği açısından önemli bir tehdit oluşturuyor ve kuruluşların, özellikle Microsoft Entra ID kullanıcıları için, oturum açma günlüklerini dikkatle izlemeleri ve anormal etkinlikleri tespit etmek için gelişmiş güvenlik önlemleri almaları gerekiyor.
Kaynak: infosecurity-magazine.com