Bilgisayar korsanları, çok faktörlü kimlik doğrulamayı (MFA) atlamak ve kritik sistemlere sızmak için Microsoft’un Active Directory Federasyon Hizmetleri (ADFS) kullanan kuruluşları hedefliyor.
Kimlik avı tekniklerinden yararlanan bu saldırganlar, kullanıcıları sahte oturum açma sayfaları, hasat kimlik bilgileri ve hassas verilere yetkisiz erişim elde etmek için ADFS entegrasyonlarını manipüle ederek, örgütsel güvenlik için önemli bir tehdit oluşturur.
ADFS güvenlik açığı
Microsoft ADFS, kimlik doğrulamasını birden fazla hizmette köprüleyerek, birçok işletmenin kimlik doğrulama sisteminin temel taşı haline getirerek tek oturum açma (SSO) etkinleştirmek için yaygın olarak kullanılan bir araçtır.
Bununla birlikte, güvenlik uzmanları ADF’lerin uygun şekilde korunmadığı zaman, bilgisayar korsanları için bir ağ geçidi olabileceği konusunda uyarıyor.
ADF’lerin doğal güvene dayalı ortamından yararlanarak ve ikna edici kimlik avı sayfaları hazırlayarak, saldırganlar MFA mekanizmalarını atlıyor ve kullanıcı hesaplarını devralıyorlar.
Bu yöntem, modern güvenlik protokollerini benimsemede geride kalan kuruluşlara karşı özellikle etkilidir, çünkü birçoğu hala gelişmiş tehditlere karşı donanımlı olan eski sistemlere dayanmaktadır.
Saldırı nasıl ortaya çıkıyor
- Kimlik avı kampanyaları: Saldırganlar kimlik avı kampanyaları başlatır, kullanıcıları meşru ADFS oturum açma portallarını taklit etmek için tasarlanmış sahte oturum açma sayfalarını ziyaret eder.
- Kimlik bilgisi hasat: Sahtekarlıklı oturum açma sayfaları, daha sonra ADF’ler tarafından doğrulanan erişim sistemleri için kullanılacak kullanıcı adlarını ve şifreleri yakalar.
- MFA Bypass: Çok faktörlü kimlik doğrulaması mevcut olsa bile, saldırganlar ADFS’nin güven modelini MFA’yı atlayarak iç sistemlere, uygulamalara ve hassas bilgilere sınırsız erişim kazanabilir.
Bu endişe verici gelişme, saldırganların, özellikle sağlam, modern kimlik yönetimi çözümlerine geçmemiş kuruluşlarda, geleneksel güvenlik önlemlerini baltalamada nasıl giderek daha becerikli hale geldiğini vurgulamaktadır.
Savunma için uzman önerileri
Anormal güvenlik raporuna göre, siber güvenlik uzmanları ADFS saldırılarıyla ilişkili riskleri azaltmak için birkaç savunma eylemi öneriyor:
- Güvenlik altyapısını modernize edin: Eski sistemlerden uzaklaşın ve uyarlanabilir kimlik doğrulama ve sıfır-tröst ilkelerini entegre eden gelişmiş kimlik platformlarını benimseyin.
- Çalışan farkındalığını geliştirin: Çalışanları kimlik avı girişimlerini tanımaları ve güvenli çevrimiçi uygulamalar benimsemeleri için düzenli olarak eğitin.
- Kimlik avına dirençli MFA dağıtım: Kolayca atlanamayan FIDO2 tabanlı kimlik doğrulama gibi güçlü MFA yöntemlerini uygulayın.
- Monitör ve Yanıtla: Olağandışı giriş davranışlarını tespit etmek ve şüpheli etkinliğe derhal yanıt vermek için güvenlik izleme araçlarını kullanın.
Kuruluşlar, güvenlik yaklaşımlarını sürekli olarak geliştirerek saldırganların bir adım önünde kalmalıdır.
Bu kimlik avı kampanyalarının gösterdiği gibi, proaktif güncellemeler olmadan geleneksel sistemlere dayanmak, en güvenli ortamları bile siber tehditlere karşı savunmasız bırakabilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free