Siber güvenlik araştırmacıları, cihaz kodu kimlik doğrulama akışını ve birincil yenileme belirteçlerini (PRT’ler) kullanarak Microsoft’un kimlik avına dirençli çok faktörlü kimlik doğrulamasını (MFA) atlamak için sofistike bir teknik ortaya çıkardılar.
Bu yöntem, saldırganların iş anahtarları için Windows Hello’yu kaydetmesine olanak tanır ve katı MFA politikalarına sahip ortamlarda bile sürekli bir arka kapı oluşturur.
Teknik başlangıçta, katılımcıların sadece kimlik avına dirençli MFA’yı kullanarak erişime izin veren bir zorluğun üstesinden gelmek zorunda kaldıkları dahili bir “entraiots” bayrak (CTF) yarışmasını yakalama için geliştirildi.
.png
)
Araştırmacılar, mevcut güvenlik politikalarına bakılmaksızın, istek parametrelerini manipüle ederek kimlik doğrulama sırasında MFA’yı zorlayabileceklerini buldular.
“Hızlı bir testten sonra varsayımımız doğruydu!” Araştırmacılar, “AMR_VALUES = NGCMFA” parametresinin kullanıcıları kimlik doğrulama akışları sırasında MFA yapmaya zorlayabileceğini keşfettiklerini belirtti.
Saldırı nasıl çalışır
Saldırı, orta-düşman (AITM) yaklaşımı ile birleştirilen cihaz kodu kimlik avından yararlanır. Bir kurban, belirli parametreler içeren özel hazırlanmış bir URL kullanarak Microsoft’un oturum açma arabirimini geri alan kötü amaçlı bir sayfayı ziyaret ettiğinde başlar:
- Kimlik Doğrulama Broker İstemci Kimliği (29D9ED98-A469-4536-ADE2-F981BC1D605E)
- Microsoft’un kayıt hizmetine işaret eden bir kaynak URL’si
- MFA’yı zorlayan kritik “amr_values = ngcmfa” parametresi
- Belirli bir yönlendirme URI (ms-appx-web: //microsoft.aad.brokerplugin)
Kullanıcılar kimlik doğrulamasını tamamladıklarında (MFA dahil), saldırganlar erişim ve yenileme jetonları için değiştirilebilecek yetkilendirme kodları alırlar. Bu belirteçlerle saldırganlar şunları yapabilir:
- Entra Kimliğine yeni bir cihaz kaydedin
- Bu cihaz için birincil yenileme jetonu isteyin
- NGCMFA iddiasıyla PRT’yi zenginleştirin
- İş Anahtarı İçin Bir Windows Merhaba Kaydet
- Kayıtlı cihazı ve WHFB anahtarını kullanarak yeni bir PRT edin
Gizli sonuçlar
Bu saldırı özellikle ilgilidir çünkü tespit edilmesi zordur. Araştırmacılar, “Kullanıcı perspektifinden bakıldığında, yeni bir WHFB anahtarının eklendiğini tespit etmek oldukça zor” dedi. Meydan okulu kimlik doğrulama yöntemi, diğer kimlik doğrulama yöntemlerini listeleyen kullanıcının hesap sayfasında görünmez.
Bu kötü niyetli tuşları tespit etmek yöneticiler için bile zordur. Microsoft’un tasarımı, yöneticilerin entra kimliğinde kendi kimlik doğrulama yöntemlerini görüntülemelerini önler ve başka bir yöneticinin şüpheli etkinlik olup olmadığını kontrol etmesini gerektirir.
Araştırmacılar birkaç önleme stratejisini özetlediler:
- Tüm kullanıcılar için kimlik avına dayanıklı MFA’yı zorlamak
- Kullanıcıları ve Uyarı Yöneticilerini Uyarmak İçin AITM Azaltma Uygulama
- Entra Kimliğinde Cihaz Kaydı İzin Vermemek
- Cihaz uyum politikalarını zorlamak
- Cihaz kodu akışını engelleme veya sınırlandırma
Ancak, tespit sorunludur. Entra ID’nin denetim günlüğü yeteneklerindeki sınırlamalar nedeniyle, araştırma ekibi etkileşimli imzalarla cihaz oluşturma veya WHFB anahtar kaydı ile ilişkilendirme zorluklarıyla karşılaştı.
Bu teknik, 2023’te benzer PRT kimlik avı saldırıları gösteren güvenlik araştırmacısı Dirk-Jan Molema tarafından yapılan önceki çalışmalara dayanmaktadır. Mevcut ilerleme, kimlik doğrulama sırasında MFA’yı güvenilir bir şekilde zorlamaya odaklanmakta ve tam saldırı zincirinin katı güvenlik politikaları olan ortamlara karşı yürütülmesini mümkün kılmaktadır.
Kuruluşlar Windows Hello gibi şifresiz kimlik doğrulama yöntemlerine giderek daha fazla güvenirken, bu araştırma sadece kimlik avına dayanıklı MFA’ya bağlı olmaktan ziyade derinlemesine bir savunma yaklaşımının önemini vurgulamaktadır.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.