OAuth (Açık Yetkilendirme), üçüncü taraf uygulamaların oturum açma kimlik bilgilerini açığa çıkarmadan kullanıcının verilerine erişmesine olanak tanıyan endüstri standardı bir protokoldür.
Bu standart protokol, web siteleri veya uygulamalardaki kaynaklara erişmek için yaygın olarak kullanılan güvenli yetkilendirme ve kimlik doğrulamayı kolaylaştırır.
Microsoft’taki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının otomatik finansal saldırılar başlatmak için OAuth uygulamalarını aktif olarak kötüye kullandığını keşfetti.
Bilgisayar Korsanları OAuth Uygulamalarını Kötüye Kullanıyor
Tehdit aktörleri, OAuth uygulamalarını manipüle etmek için kullanıcı hesaplarını ele geçirerek gizli kötü amaçlı eylemler için yüksek ayrıcalıklar sağlar. Bu kötüye kullanım, ilk hesap kaybolsa bile sürekli erişime izin verir.
Microsoft, saldırganların kimlik avı veya parola püskürtme yoluyla hesapları tehlikeye atmak için zayıf kimlik doğrulamadan yararlandığını belirtiyor.
Daha sonra Defender araçlarını kullanarak tespit ve önleme amacıyla Microsoft tarafından izlenen aşağıdaki yasa dışı faaliyetler için OAuth uygulamalarından yararlanırlar: –
- Kripto madenciliği
- BEC sonrası kalıcılık
- İstenmeyen e-posta
Microsoft’un takip ettiği Storm-1283, kripto madenciliği için güvenliği ihlal edilmiş bir kullanıcı hesabından yararlandı. Oyuncu VPN aracılığıyla oturum açtı, Microsoft Entra ID’de eşleşen bir OAuth uygulaması oluşturdu ve sırları ekledi.
Azure’da sahiplik rolüyle uygulamaya ‘Katkıda Bulunan’ izinleri verildi. Aktör, LOB OAuth uygulamalarını kullanarak ilk VM’leri dağıttı ve daha sonra genişletti.
Kuruluşlar 10.000 ila 1,5 milyon ABD Doları arasında ücretlerle karşı karşıya kaldı. Storm-1283, VM’lerin tespitten kaçması için özel bir adlandırma kuralı kullanarak kurulumu uzatmayı amaçladı.
OAuth uygulamaları tarafından “Microsoft.Compute/virtualMachines/write” için Azure günlüklerini izleyin ve adlandırma kurallarındaki bölge veya alan adı modellerini izleyin.
Microsoft, bir tehdit aktörünün eylemlerini tespit etti, kötü amaçlı OAuth uygulamalarını engellemek için Entra ile iş birliği yaptı ve etkilenen kuruluşları uyardı. Başka bir olayda, bir tehdit aktörü hesapların güvenliğini ihlal etti, kalıcılık için OAuth’u kullandı ve bir AiTM kitiyle kimlik avı başlattı.
Kit, oturum jetonlarını çaldı ve hedefleri jeton hırsızlığı için sahte bir Microsoft oturum açma sayfasına yönlendirdi. Microsoft, güvenliği ihlal edilmiş hesapların alışılmadık konumlardan ve yaygın olmayan kullanıcı aracılarından kullanılması durumunda riskli oturum açma işlemlerini doğruladı.
Oturum çerezinin tekrar oynatılmasının ardından aktör, Outlook Web App eklerindeki belirli anahtar kelimeleri inceleyerek ele geçirilen hesabı BEC mali dolandırıcılığı açısından istismar etti.
Bu, ödeme ayrıntılarını değiştirme girişimlerinden önce gelir. Tehdit aktörü ısrar etmek ve kötü niyetli davranmak için, güvenliği ihlal edilmiş hesabı kullanarak bir OAuth uygulaması oluşturdu ve güvenliği ihlal edilen oturumun altına yeni kimlik bilgileri ekledi.
Tehdit aktörleri, kalıcılık sağlamak için çalıntı çerezleri kullanarak 17.000 gizli OAuth uygulaması için BEC’i terk etti. E-postaları okumak/göndermek için Microsoft Graph API’sine erişildi ve ayrıca tespitten kaçınmak için şüpheli adların bulunduğu gelen kutusu kuralları ayarlandı.
Bunun yanı sıra 927.000 kimlik avı e-postası da gönderdiler. Ancak Microsoft, Temmuz-Kasım 2023’ü kapsayan bu kampanyayla ilgili bulunan tüm uygulamaları kaldırdı.
Öneriler
Aşağıda, güvenlik araştırmacıları tarafından sunulan tüm önerilerden bahsettik: –
- Kimlik bilgisi tahminine dayalı saldırı risklerini azaltın
- Koşullu erişim politikalarını etkinleştir
- Sürekli erişim değerlendirmesinin etkinleştirildiğinden emin olun
- Güvenlik varsayılanlarını etkinleştir
- Microsoft Defender otomatik saldırı kesintisini etkinleştirin
- Uygulamaları ve izin verilen izinleri denetleme
- Azure Bulut kaynaklarının güvenliğini sağlayın