
Siber güvenlik uzmanları, Azure yönetilen kimliklerin (MIS) potansiyel istismarını belirlemek için sofistike teknikleri açıkladı ve bulut ortamlarında kritik ancak genellikle gözden kaçan bir güvenlik endişesini ele aldı.
Azure Mis Streamline Kimlik Bilgisi Yönetimi Manuel gizli işleme ihtiyacını ortadan kaldırarak, bu kolaylık, sofistike tehdit aktörlerinin ayrıcalıkları yükseltmek ve hassas kaynaklara erişmek için sömürebileceği yeni saldırı vektörleri yaratıyor.
Team Axon tarafından kapsamlı bir araştırma makalesinde belgelenen teknikler, sadece varlıklarını tespit etmek yerine yetkisiz erişimi ve kötü niyetli kullanımını tanımlamaya odaklanmaktadır.
Bu kimlikler Azure hizmetlerinde giderek daha fazla uygulandığından, rakiplerin ortamlar arasında dönmesine, Microsoft grafiğine yetkisiz erişim kazanmasına ve çeşitli Azure kaynaklarından duyarlı verileri çıkarmasına izin verebilecek genişleyen bir saldırı yüzeyi sunarlar.
Avcılar araştırmacılar, MIS statik kimlik bilgilerini ortadan kaldırarak önemli güvenlik avantajları sunsa da, Azure’un kimlik doğrulama çerçevesinin örtük güveniyle çalıştıkları için potansiyel kötüye kullanımlarının özellikle zarar verici olabileceğini belirtti.
Araştırma önceki çalışmalara, özellikle Karl Fossaen’in Def Con 32 konuşmasına “Kimlik Hırsızlığı Şaka değil, Azure!” başlangıçta MI istismar vektörleri etrafında farkındalık yarattı.
Makalede detaylandırılan tehdit avı yaklaşımı, her biri potansiyel MI istismarının farklı yönlerini hedefleyen on iki özel algılama sorgusu sunmaktadır.
Bu sorgular, sanal makinelerden açık jeton isteklerini tanımlamak gibi yüksek sadakatli tespitlerden, MIS olağandışı kaynaklara eriştiğinde veya anormal kimlik doğrulama modelleri sergilediğinde bayrak bu bayrak analizlerine kadar değişir.
Sunulan en önemli tekniklerden biri, Microsoft grafik numaralandırma etkinliklerini tehlikeye atılmış MIS kullanarak tespit etmeye odaklanmaktadır.
Tespit yöntemi
Bu yüksek sadakatli algılama yöntemi, yönetilen bir kimliğin Microsoft Graph API uç noktalarına anormal derecede yüksek sayıda istekte bulunduğunu tanımlar-MI tokenlerine yetkisiz erişim elde eden tehdit aktörleri tarafından keşif faaliyeti ile tutarlı davranış.
Snowflake SQL’de uygulanan ilgili algılama sorgusu, şüpheli grafik API erişim modellerini tanımlayan ortak bir tablo ifadesi oluşturur:-
WITH graph_enum_activity AS (
SELECT MIN(time) AS min_event_time,
MAX(time) AS max_event_time,
user_principal_object_id,
ARRAY_AGG(DISTINCT request_uri) AS distinct_request_uris,
COUNT(*) AS amount_of_requests
FROM RAW.MICROSOFT_GRAPH_ACTIVITY_LOGS
WHERE request_method = 'GET'
GROUP BY user_principal_object_id, hour_of_events
HAVING amount_of_requests > 60
AND amount_of_endpoint_base > 5
AND amount_of_request_uris > 30
)
Sorgu, istek kalıplarını analiz ederek, yönetilen kimliklerin kısa bir zaman dilimi içinde Grafik API’sına şüpheli sayıda farklı çağrı yaptığı işaretleme durumlarını analiz ederek davranışsal eşikler oluşturur.
Bu tespit yaklaşımı özellikle etkili olduğunu kanıtlamaktadır, çünkü meşru MIS, kaynakları grafik olarak öngörülebilir, sınırlı istek kalıpları göstererek anormal numaralandırma girişimlerini öne çıkarır.
Araştırma, tespitin ötesinde, potansiyel uzlaşmaların tüm kapsamını izlemek için masmavi oturum açma günlükleri, etkinlik günlükleri ve Microsoft grafik telemetrisi arasındaki çapraz korelasyon teknikleri de dahil olmak üzere olay araştırması ve yanıt için pratik rehberliği de detaylandırmaktadır.
Bu tespit yöntemlerini sağlayarak, güvenlik ekipleri, saldırganlar bulut ortamlarına ve hassas kaynaklara erişimlerini tam olarak kullanmadan önce potansiyel uzlaşmaları belirlemek için hayati yetenekler kazanırlar.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers