Siber güvenlik şirketi Proofpoint, yayınladığı yeni bir raporla, hackerların Microsoft Entra (eski adıyla Azure Active Directory) kullanıcı verilerini toplamak için kullandığı yeni bir tekniği açıkladı. Bu teknikte saldırganlar, OAuth istemci kimliklerini (client ID) taklit ederek hedef kuruluşların kullanıcı dizinleri hakkında bilgi topluyor ve bu işlemi yaparken güvenlik sistemlerinin dikkatini çekmiyor. Proofpoint, bu yöntemin birden fazla tehdit aktörü tarafından bağımsız olarak benimsendiğini ve ölçekli kampanyalarda kullanıldığını belirtiyor. İşletmelerin bu yeni tehdide karşı ağlarını nasıl koruyacaklarına dair önemli ipuçları var.
Microsoft Entra, Microsoft'un kimlik yönetimi hizmetidir ve saldırı girişimlerini loglarında kaydeder. Bu loglar, savunmacıların potansiyel olarak ele geçirilmiş hesapları ve kötü niyetli IP adreslerini tespit etmesine yardımcı olur. Ancak hackerlar, faaliyetlerini ve kökenlerini gizlemek için sürekli yeni yöntemler geliştiriyor. Proofpoint'e göre, son aylarda saldırganlar bu 'kaçamak taktiklerini' bir üst seviyeye taşıdı. OAuth istemci kimlikleri, Microsoft Entra'ya hangi uygulamanın kullanıcı verilerine erişmeye çalıştığını bildirir. Saldırganlar, sahte bir istemci kimliği kullanarak, Entra'nın güvendiği gerçek bir uygulama çalıştırmadan Entra veritabanından kullanıcı adı ve parola bilgilerini toplayabiliyor.
Proofpoint raporunda, 'Sahte istemci kimlikleri, kayıtlı bir OAuth uygulaması olmadan hesap numaralandırmasına olanak tanır ve saldırganların başarılı bir oturum açma olayı oluşturmadan hem parola hem de hesap geçerliliğini çıkarmasını sağlar' deniliyor. Güvenlik ekipleri genellikle Entra loglarını, belirli Entra bağlantılı uygulamalara yönelik aktivite artışları için izler. Sahte istemci kimlikleri kullanmak, Entra loglarında uygulama alanında boş girişler oluşturarak bu tür trend tabanlı izlemeden kaçmalarına yardımcı olur. Bu teknik aynı zamanda başka bir savunma önlemini de atlatıyor: yüksek hedefli uygulamalar için koşullu erişim politikalarının kullanımı. Proofpoint, 'Sahte istemci kimlikleri, belirli bir uygulamaya kapsamlı koşullu erişim politikalarını tetiklemez' diye ekliyor.
Proofpoint'in raporu, bu gizleme tekniğini kullanan iki kampanyayı tanımlıyor. İlki Ocak ayında başlayan ve 700.000'den fazla sahte kimlik kullanarak yaklaşık 4.000 kuruluştaki bir milyondan fazla kullanıcı hesabı hakkında bilgi toplayan kampanya. İkincisi ise Aralık ayında başlayan ve Şubat ayında ikinci bir dalga ile devam eden çok daha büyük bir kampanya. Bu kampanyada 3,7 milyon sahte kimlik kullanılarak iki milyondan fazla kullanıcı hedef alındı. 'Birden fazla kampanyanın benzersiz araçlar ve altyapı ile ortaya çıkması, bu tekniğin bulut ortamlarını hedefleyen tehdit aktörleri arasında popülerlik kazandığını gösteriyor' diyor Proofpoint.
Bu yeni tehdit karşısında işletmelerin alması gereken önlemler var. Proofpoint, şirketlerin Entra loglarını boş uygulama kimlikleriyle oturum açma denemeleri için izlemelerini ve tanınmayan uygulama kimlikleriyle ilişkili bir Entra hata kodu olan AADSTS700016'ya dikkat etmelerini tavsiye ediyor. Ayrıca, güvenlik ekiplerinin, normalde gördükleri uygulama bazlı aktivite modellerinin dışındaki anormallikleri tespit etmek için daha kapsamlı bir izleme stratejisi benimsemeleri gerekiyor. Koşullu erişim politikalarının yanı sıra, kullanıcı davranış analitiği ve tehdit istihbaratı entegrasyonu gibi ek güvenlik katmanları da bu tür saldırıları engellemede etkili olabilir.
Sonuç olarak, bu yeni saldırı tekniği, bulut tabanlı kimlik yönetim sistemlerinin güvenliğine yönelik artan tehditleri gözler önüne seriyor. İşletmelerin, Microsoft Entra gibi kritik altyapıları korumak için sürekli olarak güvenlik önlemlerini güncellemeleri ve yeni tehdit vektörlerine karşı hazırlıklı olmaları gerekiyor. Proofpoint'in raporu, bu tür saldırıların tespit edilmesi ve önlenmesi için değerli bilgiler sunarken, kuruluşların güvenlik ekiplerinin bu bilgileri pratikte uygulamaları hayati önem taşıyor.
Kaynak: cybersecuritydive.com