Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor. Proofpoint araştırmacıları, en az iki farklı tehdit aktörünün, OAuth client ID sahteciliği adı verilen bir teknikle Microsoft Entra ID ortamlarında çalıntı kimlik bilgilerini doğruladığını tespit etti. Bu yöntem, saldırganların oturum açma etkinliği oluşturmadan kullanıcı hesaplarını numaralandırmasına ve şifreleri doğrulamasına olanak tanıyor. Proofpoint'in bulgularına göre, bu teknik, kuruluşların bulut hizmetlerine yetkisiz erişim sağlamak için kullanılıyor ve mevcut güvenlik telemetrisinde ciddi bir kör nokta oluşturuyor.
OAuth client ID, bir uygulamaya kullanıcı verilerine erişim izni verirken atanan benzersiz bir tanımlayıcıdır (GUID). Normalde, kimlik doğrulama isteklerinde 'client_id' parametresi olarak iletilir. Proofpoint'in keşfettiği saldırıda ise, saldırganlar geçerli bir OAuth uygulamasına ait olmayan, ancak sözdizimsel olarak doğru client ID'ler kullanıyor. Microsoft Entra ID, bu sahte ID'leri reddetmek yerine, farklı hata kodları döndürüyor. Bu hata kodları, saldırganlara hesabın var olup olmadığı ve şifrenin doğru olup olmadığı hakkında bilgi veriyor. Dahası, bu işlem sırasında başarılı bir oturum açma olayı kaydedilmiyor, bu da savunma ekiplerinin saldırıyı fark etmesini zorlaştırıyor.
Proofpoint araştırmacısı Rachel Rabin, 'Entra oturum açma günlükleri, kötü amaçlı kimlik doğrulama etkinliklerini belirlemek için birincil telemetri kaynağıdır. Ancak bu teknik, bu günlüklerde bir uygulama adı kaydedilmediği için mevcut tespit mekanizmalarını atlatıyor' diyor. Saldırganlar, bu yöntemle yüz binlerce kullanıcıyı hedef alabiliyor. Proofpoint, iki büyük kampanya tespit etti: UNK_pyreq2323 ve UNK_OutFlareAZ. UNK_pyreq2323, Ocak-Mart 2026 arasında 700.000'den fazla sahte client ID kullanarak yaklaşık 4.000 kiracıda 1 milyondan fazla hesabı hedef aldı ve başarısız denemeler nedeniyle hedeflenen kullanıcıların %28'inin hesabını kilitledi.
UNK_OutFlareAZ ise Aralık 2025'ten itibaren Cloudflare altyapısını kullanarak 3,7 milyon rastgele sahte uygulama ID'si ile 2 milyondan fazla kullanıcıyı hedef aldı. Her iki kampanya da geçerli UUID'ler kullandı, ancak yöntemleri farklıydı: UNK_pyreq2323, bilinen bir uygulama ID'sinin son rakamlarını değiştirerek aynı sahte ID'yi 12 kullanıcıya kadar yeniden kullanırken, UNK_OutFlareAZ her istek için benzersiz bir client ID oluşturdu. Bu farklılık, saldırganların tespit edilme riskini azaltmak için sürekli taktik değiştirdiğini gösteriyor.
Teknik Analiz
Bu tekniğin en endişe verici yanı, Koşullu Erişim (Conditional Access) politikalarını devre dışı bırakması. Proofpoint, 'Sahte client ID'ler, belirli bir uygulama için tanımlanmış Koşullu Erişim politikalarını tetiklemez. Bu nedenle, kuruluşlar numaralandırma saldırılarını önlemek için uygulama bazında politikalar uygulasa bile, bu saldırılar devam edebilir' uyarısında bulunuyor. Ayrıca, saldırganlar HTTP POST isteklerini OAuth 2.0 token uç noktasına gönderirken Kaynak Sahibi Parola Kimlik Bilgileri (ROPC) akışını kullanıyor. Bu akış, eski ve güvenli olmayan bir yöntem olarak biliniyor, ancak Microsoft tarafından hâlâ destekleniyor.
Sonuç ve Değerlendirme
Proofpoint Tehdit Araştırmaları Direktörü Yaniv Miron, 'Sahtecilik genel olarak yıllardır bilinen bir yöntem. Saldırganlar, sürekli olarak araştırmacıların bloglarını ve yayınlarını takip ediyor ve bu bilgileri saldırılarına dahil ediyor' diyor. Miron, sorunun yalnızca Microsoft'a özgü olmadığını, diğer kimlik sağlayıcılarının da benzer açıklara sahip olabileceğini belirtiyor. Bu nedenle, tüm bulut hizmeti sağlayıcılarının OAuth client ID doğrulama mekanizmalarını gözden geçirmesi gerekiyor.
Kuruluşlar için öneriler: Öncelikle, oturum açma günlüklerinde uygulama adı alanını düzenli olarak kontrol edin. Boş veya tanıdık olmayan uygulama adları şüpheli kabul edilmelidir. İkinci olarak, ROPC akışını devre dışı bırakmayı değerlendirin. Üçüncü olarak, anormal oturum açma desenlerini tespit etmek için makine öğrenimi tabanlı araçlar kullanın. Son olarak, tüm çalışanları kimlik avı ve şifre güvenliği konusunda eğitin. Bu teknik, özellikle çalıntı kimlik bilgilerinin doğrulanmasında etkili olduğu için, güçlü şifre politikaları ve çok faktörlü kimlik doğrulama (MFA) hayati önem taşıyor.
Önemli Gelişmeler
Proofpoint'in bu keşfi, bulut güvenliğinde yeni bir zafiyet türünü ortaya çıkarıyor. OAuth client ID sahteciliği, mevcut güvenlik araçlarının kör noktalarından yararlanarak saldırganlara büyük bir avantaj sağlıyor. Ancak, farkındalık ve proaktif önlemlerle bu tehdidin etkisi azaltılabilir. Güvenlik ekiplerinin, telemetri verilerini daha derinlemesine analiz etmesi ve uygulama bazında değil, kullanıcı davranışı bazında anormallikleri tespit eden sistemler kurması gerekiyor. Bu olay, siber güvenlik dünyasında sürekli adaptasyonun ne kadar kritik olduğunu bir kez daha hatırlatıyor.
Kaynak: thehackernews.com