Siber güvenlik araştırmacıları, saldırganların Microsoft Entra ID ortamlarında çalınan kimlik bilgilerini doğrulamak için kullandığı yeni bir teknik keşfetti: OAuth client ID sahteciliği. Proofpoint tarafından yapılan araştırmaya göre, en az iki farklı tehdit aktörü bu tekniği bulut kampanyalarında kullanarak güvenlik telemetrisini atlatıyor. Bu yöntem, saldırganların başarılı bir oturum açma olayı oluşturmadan kullanıcı hesaplarını numaralandırmasına ve çalınan kimlik bilgilerini doğrulamasına olanak tanıyor. Bu, kuruluşların bulut hizmetlerine yetkisiz erişim elde etmek isteyen kötü niyetli aktörler için önemli bir güvenlik açığı oluşturuyor.
Proofpoint, bu tekniğin Microsoft Entra ID oturum açma telemetrisindeki bir kör noktadan yararlandığını belirtiyor. Normalde, Entra ID bir kullanıcı adı ve şifre doğrulaması sırasında farklı hata kodları döndürür. Ancak Proofpoint, sahte bir OAuth client ID kullanıldığında, Entra ID'nin yanıtının kullanıcı adının geçerli olup olmadığı ve şifrenin doğru olup olmadığı hakkında bilgi sızdırdığını keşfetti. Bu, saldırganların başarılı bir oturum açma olayı oluşturmadan kullanıcı adlarını ve şifreleri doğrulamasına olanak tanıyor. Bu, geleneksel güvenlik önlemlerini atlayarak saldırganların fark edilmeden hedeflerine ulaşmasını sağlıyor.
OAuth client ID, bir uygulamanın kullanıcı verilerine erişim talep ederken kullandığı benzersiz bir tanımlayıcıdır (GUID). Normalde, bu ID geçerli bir uygulamaya ait olmalıdır. Ancak Proofpoint, saldırganların sahte client ID'ler kullanarak bu süreci manipüle edebileceğini keşfetti. Saldırganlar, geçerli bir UUID formatında olmayan veya var olmayan bir uygulamaya ait client ID'ler kullanarak Entra ID'ye HTTP POST istekleri gönderiyor. Entra ID, bu istekleri reddetmek yerine, kullanıcının var olup olmadığı ve şifrenin doğru olup olmadığı hakkında bilgi içeren hata kodları döndürüyor. Bu, saldırganların bir kullanıcı veritabanı oluşturmasına ve çalınan kimlik bilgilerini doğrulamasına olanak tanıyor.
Proofpoint, bu tekniğin iki büyük kampanyada kullanıldığını tespit etti. İlk kampanya olan UNK_pyreq2323, Ocak-Mart 2026 tarihleri arasında 700.000'den fazla sahte client ID kullanarak yaklaşık 4.000 kiracıda 1 milyondan fazla hesabı hedef aldı. Bu kampanya, hedeflenen kullanıcıların yaklaşık %28'inin hesap kilitlenmesine neden oldu. İkinci kampanya olan UNK_OutFlareAZ ise Aralık 2025'te başladı ve Cloudflare altyapısını kullanarak 3,7 milyon rastgele sahte uygulama ID'si ile 2 milyondan fazla kullanıcıyı hedef aldı. Her iki kampanya da geçerli UUID'ler kullanarak sahte client ID'ler oluşturdu ve önceden derlenmiş kullanıcı adı listeleri kullandı.
Sistem Güvenliği
Bu saldırılar, geleneksel güvenlik önlemlerini atlamak için özel olarak tasarlanmıştır. Örneğin, Koşullu Erişim (Conditional Access) politikaları genellikle belirli uygulamalara yönelik numaralandırma saldırılarını engellemek için kullanılır. Ancak sahte client ID'ler, belirli bir uygulamaya yönelik olmayan politikaları tetiklemez. Ayrıca, oturum açma günlüklerinde uygulama adı alanı boş olduğu için, belirli bir uygulamaya yönelik anormal aktivite tespitleri bu saldırıları kaçırabilir. Bu, savunmacıların şüpheli aktiviteyi tespit etmesini zorlaştırır ve saldırganlara gizli erişim için fırsatlar sunar.
Proofpoint araştırmacısı Rachel Rabin, "Entra oturum açma günlükleri, kullanıcı numaralandırma, şifre püskürtme ve ilk erişim girişimleri gibi kötü amaçlı kimlik doğrulama aktivitelerini tespit etmek için birincil telemetri kaynağıdır" dedi. Ancak bu yeni teknik, bu telemetrinin kör noktalarından yararlanarak saldırganların fark edilmeden hareket etmesine olanak tanır. Proofpoint, bu tekniğin Microsoft'a özgü olduğunu ancak diğer kimlik sağlayıcılarının da benzer sorunlarla karşılaşabileceğini belirtiyor. Proofpoint tehdit araştırması direktörü Yaniv Miron, "Sahtecilik genel olarak yıllardır bilinen bir yöntemdir; saldırganlar, client ID dahil olmak üzere sahtecilik yapabilecekleri her şeyi dener" dedi.
Bu keşif, kuruluşların bulut güvenlik stratejilerini yeniden gözden geçirmeleri gerektiğini gösteriyor. OAuth client ID sahteciliği gibi teknikler, geleneksel güvenlik önlemlerini atlayarak ciddi güvenlik açıklarına yol açabilir. Kuruluşlar, oturum açma telemetrisini daha dikkatli izlemeli ve anormal aktiviteleri tespit etmek için gelişmiş analiz araçları kullanmalıdır. Ayrıca, Koşullu Erişim politikalarını sahte client ID'lere karşı koruyacak şekilde yapılandırmak ve kullanıcı hesaplarını düzenli olarak denetlemek önemlidir. Bu tür saldırıların farkında olmak, kuruluşların proaktif bir güvenlik duruşu benimsemesine yardımcı olabilir.
Önemli Gelişmeler
Sonuç olarak, OAuth client ID sahteciliği, bulut güvenliğinde yeni bir tehdit oluşturuyor. Bu teknik, saldırganların fark edilmeden çalınan kimlik bilgilerini doğrulamasına ve bulut hizmetlerine erişmesine olanak tanıyor. Kuruluşlar, bu tür saldırılara karşı savunmak için güvenlik telemetrisini iyileştirmeli ve gelişmiş tehdit tespit yöntemleri uygulamalıdır. Proofpoint'in araştırması, bu tekniğin ne kadar yaygın olduğunu ve kuruluşların bu yeni tehdide karşı nasıl önlem alabileceğini gösteriyor. Güvenlik uzmanları, bu tür kör noktaları kapatmak ve bulut ortamlarını daha güvenli hale getirmek için sürekli olarak yeni yöntemler araştırmalıdır.
Kaynak: thehackernews.com