Siber güvenlik araştırmacıları, Microsoft 365 hesaplarını hedef alan ve çok faktörlü kimlik doğrulamayı (MFA) atlatabilen iki yeni kimlik avı seti keşfetti: Jalisco ve OmegaLord. ReliaQuest güvenlik firması tarafından analiz edilen bu araçlar, siber suçluların MFA gibi modern güvenlik önlemlerini nasıl aşabildiğini gözler önüne seriyor. Jalisco, cihaz kodu kimlik avı yöntemini kullanırken; OmegaLord, sahte bir PDF okuyucu arayüzüyle kullanıcıların e-posta adreslerini, şifrelerini ve telefon numaralarını çalıyor.
Cihaz kodu kimlik avı, OAuth 2.0 Cihaz Yetkilendirme Akışı'nı (Device Authorization Grant) kötüye kullanıyor. Saldırgan, Microsoft 365 gibi bir hizmete giriş yapmak istediğinde platform bir cihaz yetkilendirme kodu üretiyor. Sosyal mühendislik yoluyla kurbana, meşru Microsoft giriş sayfasına gidip bu kodu girmesi söyleniyor. Kod girildiğinde, saldırganın kontrolündeki cihaz yetkilendirilmiş oluyor ve böylece saldırgan, kurbanın kullanıcı adı veya şifresine ihtiyaç duymadan hesaba erişebiliyor.
Jalisco seti, kurban kimlik avı sayfasını açtığında otomatik olarak yeni Microsoft OAuth cihaz kodları üretiyor. Bu kodları gerçek zamanlı olarak sağlayarak, Microsoft'un cihaz kodlarına koyduğu 15 dakikalık geçerlilik süresini aşıyor. Ayrıca Jalisco, saldırganların ele geçirilen oturumları ve hesapları yönetebileceği bir web portalı da içeriyor. ReliaQuest, bazı durumlarda saldırganların tek bir ele geçirilmiş hesaba beş farklı sahte cihaz kaydettirdiğini, hatta şüphe çekmemek için cihaz adlarında 'Microsoft' veya 'Windows' gibi masum ifadeler kullandığını belirtiyor.
Hesap ele geçirildikten sonra saldırganlar, SharePoint ve diğer SaaS hizmetlerinde değerli veriler arıyor ve dakikalar içinde verileri sızdırıyor. ReliaQuest, sızma işleminin genellikle altı dakika gibi kısa bir sürede tamamlandığını ve savunma ekipleri ihlali fark etmeden önce verilerin dışarı çıkarıldığını ifade ediyor. Ardından fidye talepleri ve verileri sızdırma tehditleri geliyor. OmegaLord ise daha geleneksel bir kimlik avı aracı olarak, sahte bir PDF okuyucu giriş sayfası ile e-posta adresleri, şifreler ve telefon numaralarını hedefliyor. Telefon numaralarının açıkça hedef alınması, saldırganların MFA'yı nasıl aşmaya çalıştığının bir başka örneği.
Teknik Analiz
ReliaQuest araştırmacıları, OmegaLord'un telefon numarası toplamasını, cihaz kodu kimlik avı gibi, tehdit aktörlerinin MFA'yı doğrudan aşmak için geliştirdiği yöntemler olarak değerlendiriyor. Jalisco, EvilTokens, Kali365, Tycoon2FA, Venom ve Forg365 gibi diğer cihaz kodu kimlik avı araçlarına katılıyor. Bu tür saldırılara karşı korunmak için ReliaQuest, Entra ID cihaz kayıt sınırının varsayılan 50'den 1 veya 2'ye düşürülmesini, Microsoft Entra Koşullu Erişim ile cihaz kodu kimlik doğrulamasının engellenmesini, Okta'da OAuth Cihaz Yetkilendirme izninin kısıtlanmasını ve gereksiz uygulama kayıtlarının denetlenip kaldırılmasını öneriyor.
Gelecekte Ne Bekleniyor?
Bu yeni nesil kimlik avı setleri, MFA'nın tek başına yeterli olmadığını gösteriyor. Kuruluşların, cihaz kodu akışlarını kısıtlama, kullanıcıları bu tür saldırılara karşı eğitme ve anormal cihaz kayıtlarını izleme gibi ek güvenlik katmanları uygulaması gerekiyor. Ayrıca, çalınan telefon numaraları MFA kodlarını ele geçirmek için kullanılabileceğinden, SMS tabanlı MFA yerine uygulama tabanlı veya donanım tokenları gibi daha güvenli yöntemler tercih edilmeli.
Kaynak: bleepingcomputer.com