Botnet ile çalışan yeni bir siber saldırı, Microsoft 365 kullanıcılarını riske atıyor. SecurityScorecard’daki güvenlik araştırmacıları, Microsoft 365 hesaplarına karşı koordineli şifre püskürtme saldırıları başlatmak için 130.000’den fazla tehlikeye atılmış cihazın kullanıldığını bildirdi.
Ne oluyor?
Saldırganlar, tekrarlanan başarısız girişimler yoluyla uyarıları tetikleyen olağan giriş mekanizmalarına güvenmek yerine, kampanyaları için etkileşimli olmayan işaretler kullanıyorlar. Bu yöntem normalde otomatik işlemler veya arka plan hizmetleri içindir ve olağan MFA kontrollerini çağırmaz. Sonuç olarak, şüpheli faaliyetler standart kullanıcı girişlerine odaklanan güvenlik izleme sistemleri tarafından fark edilmeyebilir.
Dahası, saldırganlar Infostealer günlüklerinden çalınan kimlik bilgilerini kullanarak sistematik girişimler yapıyorlar. Onların yaklaşımı, finansal hizmetler, sağlık hizmetleri, hükümet, teknoloji firmaları ve eğitim kurumlarından gelen kuruluşları etkileyen çok çeşitli Microsoft 365 kiracılarını hedeflemektedir.
Saldırı nasıl çalışır
- Etkileşimli olmayan işaretler: Saldırganlar, acil hesap kilitlemelerini veya uyarılarını tetiklemeyen oturum açma denemeleri yaparlar. Bu girişler etkileşimli olmadığından, genellikle standart izleme araçlarının bildiriminden kaçarlar.
- Temel kimlik doğrulama kötüye kullanımı: Saldırganlar, eski temel kimlik doğrulama protokollerinden yararlanarak, kullanıcı kimlik bilgilerini şifrelemeden gönderir. Bu, modern kimlik doğrulama yöntemlerine kıyasla daha fazla açıklanan hesaplar bırakır.
- Komuta ve Kontrol Koordinasyonu: Kanıtlar, saldırganların çabalarını altı komuta ve kontrol (C2) sunucusu aracılığıyla koordine ettiklerini göstermektedir. Bu sunucular, binlerce enfekte cihazla iletişim kurar ve tanınmış bulut sağlayıcılarının bağları ile vekil hizmetleri tarafından desteklenmektedir. Çin. Ağ trafiğinin analizi, bu sunucularda, muhtemelen Botnet’i yönetme ve tehlikeye atılan cihazlara talimatlar gönderme gibi görevler için kullanılan birkaç açık bağlantı noktası ortaya çıkarmıştır.
SecurityScorecard’ın raporuna göre, bu, birden fazla riskle karşılaştıkları için Microsoft 365’e güvenen kuruluşlar içindir. Yetkisiz hesap erişimi, hassas e -postaları, belgeleri ve işbirliği araçlarını saldırganlara maruz bırakabilir. Tekrarlanan giriş girişimleri nedeniyle hizmet kesintileri meydana gelebilir ve bu da günlük işlemleri kesintiye uğratan hesap kilitlerine yol açar.
Buna ek olarak, kontrol edildikten sonra, siber suçlular, kimlik avı kampanyaları için uzlaşmış hesapları kötüye kullanabilir veya kuruluş içinde yanal olarak hareket edebilir ve güvenlik tehditlerini daha da artırabilir. Saldırı etkileşimli olmayan oturum açıcılarından yararlandığından, sadece olağan etkileşimli oturum açma olaylarını izleyen ekipler bu şüpheli faaliyetleri kaçırabilir. Etkileşimli olmayan günlük etkinliklerini dahil edecek güvenlik izlemenin güncellenmesi, Microsoft 365 kullanan kuruluşlar için önemli bir adımdır.
Güvenlik ekipleri oturum açma günlüklerini dikkatlice incelemeye teşvik edilir. Etkileşimli olmayan günlük girişlerine ve şüpheli giriş girişimlerine dikkat etmek, bu tür istenmeyen etkinlikleri tespit etmeye yardımcı olabilir.
Kuruluşlar, temel kimlik doğrulama kullananları belirleyerek ve etkileşimli olmayan oturum açma günlüklerinde bulunan açık kimlik bilgilerini güncelleyerek arka plan hizmeti hesaplarını denetlemelidir. Kimlik doğrulama yöntemlerini ve eski protokollerden MFA’yı tam olarak destekleyen modern kimlik doğrulama uygulamalarına geçişin gözden geçirilmesi de çok önemlidir.
Ayrıca, anormal giriş kalıpları veya komut ve kontrol sunucularıyla ilişkili IP adreslerinden bağlantılar gibi olağandışı trafiğin izlenmesi, potansiyel güvenlik tehditlerinin algılanmasına ve azaltılmasına yardımcı olabilir.
Microsoft, bu yılın ilerleyen saatlerinde belirli temel kimlik doğrulama protokollerini tamamen emekliye ayırmayı planlayarak, kuruluşların bu tür gizli saldırılara karşı korumalarını güçlendirmeleri için iyi bir zaman.
Uzman Yorum
Arizona merkezli Kapsamlı Sertifika Yaşam Döngüsü Yönetimi (CLM) sağlayıcısı Scottsdale, Sectigo kıdemli üyesi Jason Soroko, Microsoft 365’teki etkileşimli olmayan girişleri güvence altına almak için değerli bilgiler sunuyor.
Soroko, “Etkileşimli olmayan girişler, hizmet hesapları, otomatik görevler ve API entegrasyonları tarafından yönlendirilen Microsoft 365’te yaygındır” diye açıklıyor. “Arka plan işlemleri doğrudan kullanıcı girişi olmadan kaynaklara rutin olarak eriştiğinden, genellikle genel kimlik doğrulama olaylarının önemli bir bölümünü temsil ediyorlar.”
Etkileşimli kullanıcı kimlik doğrulamasının aksine, çok faktörlü kimlik doğrulama (MFA) genellikle etkileşimli olmayan girişler için uygulanamaz. Soroko, “Bunun yerine, bu otomatik girişler sertifikalar veya paylaşılmayan yönetilen kimliklerin diğer biçimleri gibi alternatif güvenli mekanizmalar kullanmalıdır” diyor. “Kuruluşlar, koşullu erişim politikaları, katı kimlik bilgisi yönetimi ve sürekli izleme ile etkileşimli olmayan erişimi daha iyi güvence altına almalıdır.”
Microsoft 365, etkileşimli olmayan girişleri kısıtlamak için yapılandırmalar sunar. Soroko, “Yöneticiler koşullu erişim politikaları aracılığıyla daha güçlü kimlik doğrulaması uygulayabilir ve bu sessiz imzaları kolaylaştıran eski protokolleri engelleyebilir” diyor. “Bununla birlikte, meşru otomatik süreçlerin bozulmasını önlemek için bu tür kısıtlamalar düşünceli bir şekilde uygulanmalıdır.”