Birden çok sahte Microsoft İş Ortağı Ağı hesabının zararlı OAuth uygulamaları oluşturduğu, kuruluşların bulut ortamlarında ihlallere neden olduğu ve e-postaların çalınmasına yol açtığı keşfedildi. Sonuç olarak, Microsoft harekete geçti ve bu doğrulanmış hesapları devre dışı bıraktı.
Microsoft ve Proofpoint, bazı kötü niyetli aktörlerin meşru şirketleri taklit etmeyi ve MCPP’deki bu şirketler olarak doğrulama almayı başardıklarını ortaya koyan ortak bir açıklama yaptı.
Siber suçlular, izin kimlik avı saldırılarıyla İngiltere ve İrlanda’daki kurumsal çalışanları kandırmak amacıyla Azure Active Directory’de meşru OAuth uygulamaları oluşturmak için bu hesapları kullandı.
Teknik Analiz
Kötü niyetli OAuth uygulamalarının kötü niyetli bir amacı vardı ve şüphelenmeyen müşterilerden hassas bilgileri çalmak için özel olarak tasarlanmışlardı. Bu durumda hedef, müşterilerin e-posta adresleriydi.
Bu e-posta adresleri büyük olasılıkla kimlik avı veya istenmeyen e-posta gönderme amacıyla toplanmış ve kullanılmış, hatta karanlık ağda diğer kötü niyetli aktörlere satılmış olabilir.
Uygulamanın aşırı izinleri, takvimlere, toplantı bilgilerine ve kullanıcı izinlerinde yapılan değişikliklere yetkisiz erişim olasılığını açmış olabilir.
Siber suçlular genellikle bu bilgileri aşağıdaki yasa dışı faaliyetler için kullanır:-
- Siber casusluk
- BEC saldırıları
- Dahili ağlara daha derin erişim elde edin
15 Aralık 2022’de Proofpoint kötü niyetli bir kampanyayı gün ışığına çıkardı ve Microsoft’un söz konusu tüm aldatıcı hesapları ve OAuth uygulamalarını hızla kapatmasını sağladı.
Keşfin ardından şirket, kötü niyetli aktörlerin e-posta hesaplarından veri çalmak için tehlikeye atılan onaydan yararlandığını belirterek etkilenen müşterileri derhal e-posta yoluyla bilgilendirdi.
Microsoft, güvenilirliği artırmak için kötü niyetli aktörlerin saygın kuruluşlar gibi davranarak bireyleri aldatmak için çeşitli taktikler kullandığını tespit etti.
Tehdit aktörleri tarafından “yayıncı tarafından doğrulandı” durumuyla kaydedilen kötü amaçlı uygulamaların varlığı, MPN işlemi aracılığıyla kimlik doğrulamayı başarıyla geçtikleri anlamına gelir.
Proofpoint, Microsoft tarafından MPN hesaplarına bağlı yayıncı adını değiştirmenin yeniden doğrulama sürecinden geçmeyi gerektirdiği konusunda bilgilendirildi.
Doğrulanmış bir yayıncı kimliği elde eden kötü niyetli kişiler, her uygulamaya “hizmet şartları” ve “politika beyanı” kisvesi altında kimliğine bürünülen kuruluşun sitesine yönlendiren bağlantılar ekledi.
Popüler Uygulamaların Taklidi
Meşru, doğrulanmış yayıncılar gibi davranan siber suçlular, kurbanları aldatmak için Tek Oturum Açma (SSO) gibi uygulamaların popülaritesinden yararlanarak:-
- Yinelenen uygulama simgeleri
- Yinelenen uygulama adları
- Yanıt URL’leri
Başvuru onay ekranı, yetkilendirme talebini yaymak için kullanılan kişiselleştirilmiş “.html” ve “.htm” dosyalarına bağlanır.
Azure Active Directory (Azure AD) onay istemindeki mavi onay, doğrulanmış bir iş ortağı tarafından oluşturulan OAuth uygulamalarının güvenilirliğinin bir göstergesi olarak işlev görür.
Üç başvurudan ikisi “Tek Oturum Açma (SSO)” olarak etiketlendi ve üçüncüsü “Toplantı” olarak adlandırıldı. Üçü de aşağıdaki izinlere erişim istedi: –
- Kullanıcı.Oku
- e-posta
- offline_access
- profil
- açık kimlik
- Posta.Oku
- MailboxSettings.Oku
- Takvimler.oku
- Onlinemeetings.read
- Posta.gönder
Ne yazık ki, çok sayıda kuruluş saldırılardan zarar gördü ve Proofpoint, etkilenen kullanıcıların kanıtlarını keşfetti. Kötü amaçlı kampanya, Microsoft tarafından nihayet durdurulduğu 6 Aralık 2022 ile 27 Aralık 2022 arasında gerçekleşti.
Bu süre zarfında saldırganlar saldırılarını gerçekleştirmek için çeşitli kötü amaçlı uygulamalar kullandılar, ancak Microsoft bunların hepsini tespit edip devre dışı bırakmayı başardı ve kampanyayı etkili bir şekilde durdurdu.
Microsoft’un bulut hizmetlerini hedeflemek için sahte OAuth uygulamalarının kullanılması yeni bir olgu değildir. Aslında bu, kötü niyetli aktörlerin hassas bilgilere erişmek ve saldırılarını gerçekleştirmek için bu uygulamalarla ilişkili güveni sıklıkla kötüye kullanmasıyla tekrar eden bir sorun olmuştur.
Bu, üçüncü taraf uygulamalara erişim izni verirken ve bunların gerçekliğini doğrularken dikkatli olmanın öneminin yanı sıra Microsoft’un kullanıcılarını korumak ve bu tür saldırıların gerçekleşmesini önlemek için güvenlik önlemlerini sürekli olarak iyileştirmesi gereğini vurgular.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin