Microsoft Azure Active Directory ortamlarında “Microsoft ile oturum aç” özelliğini uygulayan kuruluşlar, çevrimiçi ve bulut hesabı devralmalarına kapı açan bir kimlik doğrulama atlamasına karşı potansiyel olarak savunmasız olabilir.
Saldırıyı “nOAuth” olarak adlandıran Descope araştırmacılarına göre sorun, Microsoft’un bulut tabanlı kimlik ve erişim yönetimi hizmeti olan Azure AD’deki çok kiracılı OAuth uygulamalarını etkileyen bir kimlik doğrulama uygulama hatasıdır. Başarılı bir saldırı, kötü bir aktöre kurbanın hesaplarını tam olarak yönetme, kalıcılık oluşturma, verileri sızdırma, yanal hareketin mümkün olup olmadığını keşfetme vb.
Descope CISO’su Omer Cohen, “OAuth ve OpenID Connect, milyonlarca Web mülkünün zaten kullandığı açık, popüler standartlardır” diyor. “‘Microsoft ile oturum açın’ uygunsuz bir şekilde uygulanırsa, bu uygulamalardan birkaçı hesabın ele geçirilmesine karşı savunmasız olabilir. Daha az geliştirici kaynağına sahip küçük işletmeler özellikle etkilenebilir.”
nOAuth Siber Saldırı Tehdidinin İçinde
Arka planda OAuth, kullanıcıların başka bir güvenilir uygulamada önceki kimlik doğrulamasına dayalı olarak uygulamalarda otomatik olarak oturum açmasına olanak tanıyan açık, belirteç tabanlı bir yetkilendirme çerçevesidir. Bu, birçok e-ticaret sitesinde bulunan “Facebook ile giriş yap” veya “Google ile giriş yap” seçeneklerinden çoğu kişiye aşinadır.
Azure AD ortamında OAuth; Microsoft 365, Azure portal ve OAuth uygulamalarını kullanan diğer binlerce SaaS uygulaması gibi dış kaynaklara kullanıcı erişimini yönetmeye yardımcı olmak için kullanılır.
Descope analizine göre “Azure Active Directory ayrıca OAuth, OIDC ve diğer standart protokoller aracılığıyla kimlik doğrulamaları sağlayarak kurumsal intranetinizdeki uygulamalar ve kendi kuruluşunuz tarafından geliştirilen tüm bulut uygulamaları gibi dahili kaynakları da yönetir.” Diğer bir deyişle, pek çok önemli kurumsal verinin anahtarını elinde tutar.
Descope’un konuyla ilgili bu hafta yayınlanan analizine göre, zayıflık, kötü aktörlerin sadece farkında olmayan bir kurbanın e-posta adresini kullanarak platformlar arası sahtekarlık yapmasına izin veriyor.
Descope araştırmacıları, “Her zamanki OAuth ve OpenID Connect uygulamalarında, kullanıcının e-posta adresi uygulamalar tarafından benzersiz tanımlayıcı olarak kullanılır” dedi. “Ancak, Microsoft Azure AD’de döndürülen ‘e-posta’ talebi değişkendir ve doğrulanmamıştır, bu nedenle güvenilir olamaz.”
Bu, kötü niyetli ve makul miktarda platform bilgisine sahip herkesin yalnızca bir Azure AD hesabı oluşturabileceği ve e-posta kimlik doğrulama talebini kontrol etmek için bu hesaptaki “İletişim Bilgileri” altındaki e-posta özniteliğini keyfi olarak değiştirebileceği anlamına gelir.
“[This] Saldırganın, kimliğine bürünmek istediği herhangi bir kurbanın e-posta adresiyle ‘Microsoft ile oturum aç’ı kullanmasına izin veriyor” dedi. Microsoft OAuth ve kimlik doğrulamasını tamamen atlayarak bu e-posta adresini doğrulamaz.”
Saldırı akışı sinir bozucu derecede basit:
- Saldırganlar, Azure AD hesaplarına yönetici olarak erişir.
- Saldırganlar, kimlik doğrulama için kullanılan hesaplarının “e-posta” özelliğini kurbanın e-posta adresine değiştirir.
- Microsoft, e-posta değişikliğinin Azure AD’de doğrulanmasını gerektirmediğinden, sistem iki hesabı birleştirir ve saldırganların kurbanın ortamına erişmesine izin verir.
Çok Kapsamlı Bir Kimlik Doğrulama Zayıflığı
Descope araştırmacıları, sorunun kapsamını daha iyi anlamak için bir nOAuth kavram kanıtı (PoC) istismarı oluşturdu ve bunu “herhangi birinin savunmasız olup olmadığını kontrol etmek için yüzlerce web sitesine ve uygulamaya beyaz şapka saldırısıyla” test etti. dediler. “Onlardan epeyce olduğunu gördük.”
Aylık milyonlarca kullanıcısı olan bir tasarım uygulaması, halka açık bir müşteri deneyimi şirketi, önde gelen bir çoklu bulut danışmanlık sağlayıcısı ve ayrıca birkaç KOBİ ve başlangıç aşamasındaki girişimler, oturan ördekler arasındaydı.
Rapora göre “Mevcut bir kullanıcı hesabında ‘Microsoft ile oturum aç’ kullanıldığında kullanıcı hesaplarını birleştiren iki kimlik doğrulama platformu sağlayıcısını da bilgilendirdik.” “Bu örnekte, saldırgan hesabını yasal bir kullanıcı hesabıyla birleştirmek, kullanıcı hesabı üzerindeki tüm denetimi saldırgana verir. Sonuç olarak, ‘Microsoft ile oturum aç’ seçeneğini kullanan tüm müşterileri savunmasız kalırdı.”
Araştırmacılara göre bu bulgular “İnternet okyanusunda bir damla” ve bundan etkilenebilecek muhtemelen çok, binlerce başka kullanıcı var.
Microsoft, kullanıcılara kimlik doğrulama için benzersiz bir tanımlayıcı olarak e-posta adresini kullanmamaları konusunda her zaman genel bir kılavuz yayınlamıştır, ancak Descope, Microsoft’u sorunun kapsamı hakkında bilgilendirdikten sonra, bilgi işlem devi, Azure AD OAuth uygulama kılavuzunu iki yeni iddia içerecek şekilde yeniledi. kullanım ve talep doğrulama ile ilgili özel bölümler.
Cohen, “Uygulamanız ‘Microsoft ile oturum aç’ özelliğini kullanıyorsa ve kimlik doğrulamasını şirket içinde gerçekleştiriyorsanız, benzersiz tanımlayıcı olarak Azure AD tarafından döndürülen e-posta talebini kullanıp kullanmadığınızı kontrol etmeniz çok önemlidir.” “Öyleyse, potansiyel kötüye kullanımı önlemek için kullanıcı için benzersiz tanımlayıcı olarak kullanılan iddianın ‘alt’ (Konu) iddia olmasını sağlamak için düzeltme adımları atılmalıdır.”
Yanlış OAuth Uygulamaları İşletmeleri Saldırıyor
OAuth’un yanlış uygulamaları son zamanlarda büyük işletmelerde gün ışığına çıkıyor ve kuruluşların bu potansiyel olarak zarar verici saldırı vektörünü kilitleme ihtiyacını gösteriyor.
Örneğin Mart ayında, Booking.com web sitesinin yetkilendirme sisteminde, saldırganların kullanıcı hesaplarını ele geçirmesine ve kişisel veya ödeme kartı verilerine ilişkin tam görünürlük elde etmesine ve hesaplara giriş yapmasına izin verebilecek kusurlar gün ışığına çıktı. web sitesinin kardeş platformu Kayak.com’da.
Ve Mayıs ayında, tek bir kod tabanı kullanarak iOS, Android ve diğer Web platformları için yerel mobil uygulamalar geliştirmeye yönelik açık kaynaklı bir çerçeve olan Expo’nun OAuth uygulamasında CVE-2023-28131 olarak izlenen bir hata bulundu. Kusur, çerçeveyi kullanan bir çevrimiçi hizmete giriş yapmak için çeşitli ve sosyal medya hesaplarını kullanan tüm kullanıcıların hesaplarını tehdit etti.
Cohen, OAuth standardının ve benzerlerinin güvenilir ve güçlü kimlik doğrulama yaklaşımları olduğunun altını çiziyor, ancak işletmelerin bunları oluştururken siber güvenlik ve kimlik doğrulama uzmanlarıyla birlikte çalıştıklarından emin olmaları gerekiyor.
“Bu standartlarla çalışmak son derece karmaşık” diyor. “Kimlik doğrulama öylece ekleyebileceğiniz ve bir kutuyu işaretleyebileceğiniz bir şey değildir. Bu standartları doğru bir şekilde uygulamak, uygulamanın güvenliği için çok önemlidir.”
“İşletmeler bu standartları şirket içinde uygulamayı seçerse, o zaman düzenli olarak kalem testi yaptırmalı ve uygulamanın gözden geçirilmesini sağlamalıdırlar veya güvenlik uzmanları tarafından oluşturulmuş bir kimlik doğrulama platformunu kullanabilirler.”
Siber suçluların aktif olarak bu tür zayıflıkları aradıkları göz önüne alındığında, bunun öneminin küçümsenemeyeceğini vurguluyor.
Cohen, “Bunlar, istismar edilen çok tipik saldırı vektörleridir” diyor. “Saldırganlar bunları geniş çapta zarar vermek için kullanıyor.”
“Bulut teknolojilerini ve SaaS uygulamalarını benimseyen kuruluşların artmasıyla, kimlik yeni güvenlik duvarı oldu. Kullanıcı kimlik doğrulaması iyi tasarlanmazsa, ön kapıyı açık bırakacağınız için uygulamanın kendisinin ne kadar güvenli olduğu önemli değil” diye ekliyor. siber saldırılara.”