Hackerlar Microsoft Entra Verilerini Çalmak İçin Yeni Bir Yöntem Keşfetti: OAuth Kimlik Sahtekarlığı Dünya Geneli

Hackerlar Microsoft Entra Verilerini Çalmak İçin Yeni Bir Yöntem Keşfetti: OAuth Kimlik Sahtekarlığı

Hackerlar, Microsoft Entra günlüklerinde şüphe uyandırmadan kullanıcı verilerini toplamak için OAuth istemci kimliklerini taklit ediyor. Proofpoint, b

Siber güvenlik firması Proofpoint, Pazartesi günü yayınladığı raporda, hackerların Microsoft Entra kullanıcı dizinleri hakkında bilgi toplamak için OAuth istemci kimliklerini taklit eden yeni bir saldırı kampanyası başlattığını duyurdu. Şirket, bu tekniği kullanan birden fazla tehdit aktörünün bağımsız olarak benimsediğini ve kampanyaların ölçeklendiğini belirtti. Bu yöntem, güvenlik ekiplerinin geleneksel izleme mekanizmalarını atlatarak fark edilmeden veri toplamayı mümkün kılıyor.

Microsoft Entra, Microsoft'un kimlik yönetimi hizmetidir ve saldırı girişimlerini günlüklerine kaydeder. Bu günlükler, güvenlik ekiplerinin potansiyel olarak ele geçirilmiş hesapları ve kötü niyetli IP adreslerini tespit etmesine yardımcı olur. Ancak hackerlar, faaliyetlerini ve kaynaklarını gizlemek için yeni yollar buldu. Proofpoint, son aylarda saldırganların bu "kaçamaklı taktikleri" bir üst seviyeye taşıdığını belirtiyor.

OAuth istemci kimlikleri, Microsoft Entra'ya hangi uygulamanın kullanıcı verilerine erişmeye çalıştığını söyler. Hackerlar, sahte bir istemci kimliği kullanarak Entra veritabanından kullanıcı adı ve parola bilgilerini toplayabilir, ancak Entra'nın güvendiği gerçek bir uygulama çalıştırmaz. Proofpoint, "Sahte istemci kimlikleri, kayıtlı bir OAuth uygulaması olmadan hesap numaralandırmasına olanak tanır ve saldırganların başarılı bir oturum açma olayı oluşturmadan parola ve hesap geçerliliğini çıkarmasına izin verir" dedi.

Güvenlik ekipleri genellikle Entra günlüklerini belirli uygulamalara yönelik aktivite artışları için izler. Sahte istemci kimlikleri kullanmak, Entra günlüklerinde uygulama alanında boş girişler oluşturarak bu tür trend tabanlı izlemeyi atlatmaya yardımcı olur. Proofpoint raporunda, "Gözlemlenen günlük kaydı davranışı, kimliği doğrulanmamış saldırganların başarılı bir oturum açma olayı oluşturmadan kullanıcıları numaralandırmasına ve parola geçerliliğini çıkarmasına olanak tanır. Numaralandırma tespit edilse bile, savunmacılar geçerli kimlik bilgilerinin tanımlandığını fark etmeyebilir ve tehlikeye atılmış kimlik bilgilerini tamamen gözden kaçırabilir" ifadelerine yer verdi.

Sistem Güvenliği

Bu teknik ayrıca başka bir savunma önlemini de atlar: yüksek hedefli uygulamalar için koşullu erişim politikalarının kullanımı. Proofpoint, "Sahte istemci kimlikleri, belirli bir uygulamaya kapsamlı koşullu erişim politikalarını tetiklemez" dedi. Bu, saldırganların hedef uygulamalara özgü güvenlik kontrollerinden kaçınmasını sağlar.

Uzmanların Görüşleri

Proofpoint'in raporu, bu gizleme tekniğini kullanan iki kampanyayı tanımladı: biri Ocak ayında başlayan, diğeri ise Aralık ayında başlayan. Ocak kampanyası, yaklaşık 4.000 kuruluştaki bir milyondan fazla kullanıcı hesabı hakkında bilgi toplamak için 700.000'den fazla sahte kimlik kullandı. Aralık kampanyası - Şubat ayında ikinci bir dalgası olan - çok daha büyüktü ve iki milyondan fazla kullanıcıyı hedeflemek için 3,7 milyon sahte kimlik kullandı.

Proofpoint, "Benzersiz araçlar ve altyapıya sahip birden fazla kampanyanın ortaya çıkması, bu tekniğin bulut ortamlarını hedefleyen tehdit aktörleri arasında ivme kazandığını gösteriyor" dedi. Şirket, işletmeleri Entra günlüklerinde boş uygulama kimlikleriyle oturum açma denemelerini izlemeye ve tanınmayan uygulama kimlikleriyle ilişkili bir Entra hata kodu olan AADSTS700016'ya dikkat etmeye çağırdı.

Kaynak: cybersecuritydive.com

Paylaş: