Microsoft’un Azure ekosistemindeki güvenlik kusurları, siber suçluların “Azure Portal” gibi resmi hizmetleri taklit eden aldatıcı uygulamalar oluşturmasına olanak tanıyor.
Varonis, Azure’un, kiracılar arası uygulamalar için ayrılmış adları engellemek üzere tasarlanan güvenlik önlemlerinin, görünmez Unicode karakterler kullanılarak atlanabileceğini buldu.
Saldırganlar, “Az͏u͏r͏e͏ ͏P͏o͏r͏t͏a͏l” gibi harflerin arasına Combining Grapheme joiner (U+034F) gibi karakterler ekleyerek izin ekranlarında yasal görünen uygulamalar oluşturdu.
Bu numara, U+FE00 ila U+FE0F gibi aralıklardaki karakterler de dahil olmak üzere 260’tan fazla karakterle işe yaradı. Bu hile, birçok Microsoft uygulamasının doğrulama rozetlerinin bulunmadığı gerçeğinden yararlandı ve kullanıcıların üçüncü taraf kaynakları hakkındaki uyarıları gözden kaçırmasına yol açtı.
Temel olarak Azure hizmetleriyle entegre olan yazılım varlıkları olan Azure uygulamaları, izinler için kullanıcı onayına dayanır. Yetki verilen izinler, uygulamaların kullanıcı adına hareket ederek e-postalara, dosyalara ve daha fazlasına erişmesine olanak tanırken, uygulama izinleri bağımsız erişim sağlar.
Bunlar kötüye kullanıldığında Microsoft 365 ortamlarında ilk erişim, kalıcılık ve ayrıcalık yükseltme için güçlü saldırı vektörleri haline gelir.
Kimlik Avı Taktikleri Tehdidi Artırıyor
Varonis, başta yasa dışı izin verme ve cihaz kodu kimlik avı olmak üzere ilk erişim yöntemlerine odaklandı. İlkinde kimlik avı e-postaları, kurbanları bir izin sayfasına yönlendiren sahte dosya bağlantılarına yönlendiriyor.
Saldırganlar onaylandıktan sonra şifrelere ihtiyaç duymadan erişim belirteçlerini ele geçirerek onlara kurbanın kaynak ayrıcalıklarını verir.
Cihaz kodu kimlik avı bunu daha da ileri götürür: Saldırganlar, kötü amaçlı bir uygulama için bir doğrulama URI’si ve kodu oluşturarak kullanıcıları yasal görünen bir siteye girmeleri için kandırır. Saldırgan daha sonra tokenı yoklayarak oturumu ele geçirir.
Bu teknikler aldatmaya dayalıdır. Sahte uygulamalara yönelik izin sayfaları, özellikle Azure simgeleriyle eşleştirildiğinde ikna edici bir şekilde görüntüleniyor.
Forum tartışmaları, kullanıcıların Microsoft’tan korunduklarını varsayarak “doğrulanmamış” uyarıları rutin olarak reddettiklerini ortaya koyuyor.
Test edilen yasaklı isimler arasında “Microsoft Teams”, “Power BI” ve “OneDrive SyncEngine” gibi temel bilgiler yer alıyor ve olası kimliğe bürünmelerin kapsamı vurgulanıyor.
Varonis sorunları derhal açıkladı; Microsoft, ilk Unicode geçişini Nisan 2025’te ve daha geniş bir seti Ekim 2025’te düzeltti.
Güncellemeler kiracıları otomatik olarak koruduğu için müşterinin herhangi bir işlem yapmasına gerek yoktur. Yine de uzmanlar, kuruluşları uygulama izinlerini titizlikle izlemeye, en az ayrıcalıklı izinleri uygulamaya ve kullanıcıları kimlik avı tehlike işaretleri konusunda eğitmeye çağırıyor.
Bu bölüm, bulut ortamlarında katmanlı savunma ihtiyacını güçlendiriyor. Saldırganlar geliştikçe, görünüşte zararsız bir uygulama izninin kaosa giden kapıyı açmaması için de dikkatli olunmalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
