Yeni OAuth Client ID Sahteciliği Tekniği ile Bulut Ortamları Tehdit Altında Siber Güvenlik

Yeni OAuth Client ID Sahteciliği Tekniği ile Bulut Ortamları Tehdit Altında

Siber saldırganlar, OAuth Client ID'lerini taklit ederek bulut ortamlarına yetkisiz erişim sağlayan yeni bir teknik kullanıyor. Proofpoint araştırması

Siber güvenlik uzmanları, saldırganların giderek daha fazla kullandığı ve OAuth Client ID'lerini taklit ederek bulut ortamlarına sızmalarına olanak tanıyan gizli bir teknik konusunda uyarıda bulundu. Proofpoint analistlerinin araştırmasına göre, siber suçlular, daha önce Azure AD olarak bilinen ve Microsoft'un bulut tabanlı kimlik ve erişim yönetimi çözümü olan Microsoft Entra ID'yi kullanarak kayıtlı bir OAuth istemci kimliği olmadan hesaplara erişiyor. Bu tekniğin doğası, savunmacıların şüpheli etkinlikleri tespit etmesini zorlaştırırken, saldırganlara kuruluşun bulut hizmetlerine gizli erişim sağlıyor.

Proofpoint, 13 Temmuz'da yayınladığı bir blog yazısında, OAuth istemci kimliği sahteciliğinin yeni bir teknik olarak ortaya çıktığını ve bulutu hedef alan kampanyalarda giderek daha fazla kullanıldığını belirtti. Entra oturum açma günlükleri, savunmacıların kullanıcı numaralandırma gibi kötü amaçlı kimlik doğrulama etkinliklerini belirlemesine yardımcı olan yaygın bir araçtır. Kullanıcı numaralandırma, bir saldırganın gerçek bir kullanıcının oturum açma kimliğini tahmin etmek veya doğrulamak için kaba kuvvet ve parola püskürtme kullandığı bir saldırı tekniğidir.

Ancak araştırma, saldırganların OAuth istemci kimliği sahteciliğini kullanarak Entra oturum açma günlükleri tarafından tespit edilmekten nasıl kaçındığını ve böylece kurumsal bulut hizmetlerini gizlice tehlikeye attığını detaylandırıyor. Proofpoint, istemci kimliği sahteciliğinin, Microsoft'un OAuth 2.0 token bitiş noktasına, kullanıcı adlarının ve parolaların doğrudan gönderilmesine izin veren Kaynak Sahibi Parola Kimlik Bilgileri (ROPC) akışını kullanarak POST istekleri gönderilerek gerçekleştirildiğini açıkladı.

Bu, Azure Active Directory Güvenlik Belirteci Hizmeti (AADSTS) hata kodlarının oluşmasına neden olur ve bu da kimliği doğrulanmamış istek sahiplerinin kullanıcı adlarının ve parolalarının geçerliliğini, ayrıca çok faktörlü kimlik doğrulama (MFA) veya koşullu erişim (CA) gibi sıfır güven kavramları gibi ek kontrollerin uygulanmasını anlamasına olanak tanır. Bu bilgilerle saldırganlar, istismar edilebilecek hesapları belirleyebiliyor. Kritik olarak, sahte kimliklerin ve Entra ID günlüklerindeki boş alanların kullanılması, kötü amaçlı etkinliğin savunmacılar tarafından tespit edilmesini zorlaştırıyor.

Proofpoint, bu tekniği kullanan, binlerce Microsoft Entra kiracısındaki milyonlarca kullanıcı hesabını hedef alan birden çok büyük ölçekli kampanyayı izlediğini söyledi. Saldırganların, istemci kimliği sahteciliği sürecine yardımcı olmak için yaygın kullanıcı adlarını taklit etmeye çalıştıklarına dikkat çekildi. Blogda listelenen bazı örnekler arasında, Smith, Jones, Williams ve Johnson gibi yaygın soyadlarıyla eşleştirilmiş baş harfler yer alıyor ve bu da jsmith, ajohnson ve awilliams gibi oturum açma bilgileriyle yapılan isteklere yol açıyor.

Teknik Analiz

Araştırmacılar, kuruluşların daha fazla saldırganın bu tekniği kullanmanın yollarını aramasını beklemeleri gerektiği konusunda uyardı. Proofpoint, bu taktiğe yanıt olarak savunmacıların, boş uygulama kimliklerine sahip veya karşılık gelen bir uygulama adı olmayan oturum açma günlüğü girişlerini, istemci kimliği sahteciliğinin potansiyel göstergeleri olarak değerlendirmeleri gerektiğini söyledi. Ayrıca savunmacıların, AADSTS700016 hata kodunun yalnızca başarısız bir oturum açma girişimi değil, aynı zamanda güvenliği ihlal edilmiş kimlik bilgilerinin sinyali olabileceği konusunda uyanık olmaları önerildi.

Kaynak: infosecurity-magazine.com

Paylaş: