Kullanıcıların bulut hizmetlerinde kimlik doğrulamasını tam olarak nasıl yaptığını anlamak, etkili güvenlik izleme açısından çok önemlidir.
Yakın zamanda geliştirilmiş bir bit alanı haritalama tekniği, opaklığın kodunu çözer UserAuthenticationMethod Microsoft 365 denetim günlüklerindeki değerler, sayısal kodları işlem yapılabilir, insanlar tarafından okunabilir açıklamalara dönüştürür.
Bu çığır açıcı olay müdahale ekiplerine, yalnızca Microsoft 365 denetim günlükleri mevcut olduğunda bile birincil kimlik doğrulama yöntemlerini tanımlama yetkisi verir.
Bir kullanıcı Microsoft’un bulut hizmetlerinde oturum açtığında, kimlik doğrulama etkinlikleri hem Microsoft Entra oturum açma günlüklerinde hem de Microsoft 365 denetim günlüklerinde görünür.
Bu günlükler aynı olayları yakalasa da kimlik doğrulama ayrıntılarını farklı biçimlerde saklarlar: Entra günlükleri yöntemleri düz metin olarak tanımlarken, Microsoft 365 denetim günlükleri yalnızca sayısal verileri rapor eder. UserAuthenticationMethod Anlamlarını açıklayan resmi belgeler olmadan 16, 272 veya 33554432 gibi bir değer.
Sekoia.io’daki analistler, bu tamsayıların aslında her bir ayarlanan bitin belirli bir birincil kimlik doğrulama yöntemine karşılık geldiği bir bit alanını temsil ettiğini keşfetti.
Güvenlik ekipleri, sayısal değeri ikili değere dönüştürerek ve aktif bitleri tanımlayarak, oturum açma sırasında hangi faktörlerin kullanıldığını anlayabilir; buna “Aşamalı Kullanıma Alma yoluyla Parola Hash Senkronizasyonu” gibi karmaşık birleşik yöntemler de dahildir.
Microsoft 365 ve Entra ID Günlükleri
Haritalamada tersine mühendislik yapmak için araştırmacılar, Microsoft 365 denetim günlüğü girişlerini, aynı korelasyon tanımlayıcılarını (denetim günlüklerinde InterSystemsId ve Entra günlüklerinde korelasyonId) paylaşan Entra ID oturum açma günlükleriyle ilişkilendirdi.
Entra günlükleri, ekibin her bitin ondalık değerini karşılık gelen yöntemle eşleştirmesine olanak tanıyan net bir kimlik doğrulamaMetodu ve kimlik doğrulamaMethodDetail alanları sağlar.
Örneğin, bit 4 (ondalık 16) şunu belirtir: Parola Hash Senkronizasyonu, bit 8 (ondalık 256), Aşamalı Kullanıma Alma yoluyla dağıtılan bir yöntemi belirtir.
Dolayısıyla 272 değeri (ikili 100010000) açık bir şekilde “Aşamalı Kullanıma Alma yoluyla Parola Hash Senkronizasyonu”nu temsil eder ve kullanılan birincil kimlik bilgilerinin tam kombinasyonunu ortaya çıkarır.
Bu metodoloji, iki adımlı bir Sekoia İşletim Dili (SOL) sorgusu aracılığıyla uygulanır: ilk olarak hedefle birlikte Microsoft 365 kayıtlarını alın UserAuthenticationMethod değer; ikincisi, kimlik doğrulama yöntemlerini oluşuma göre toplamak ve sıralamak için ilişkili Entra ID olaylarını getirin.
En üstteki sonuç genellikle sayısal kodla eşlenen birincil kimlik doğrulama faktörünü ortaya çıkarır. SOL’un etkileyici filtreleme ve toplama yetenekleri, onu büyük ölçekli günlük analizi ve doğrulama için ideal bir araç haline getirir.
Gerçek Dünya Uygulaması ve Sınırlamalar
Pratikte bu eşleme, güvenlik analistlerinin Geçiş Anahtarları (ondalık 33554432) ve İş için Windows Merhaba (ondalık 262144) gibi kimlik avına karşı dirençli yöntemleri doğrudan Microsoft 365 günlüklerinden tanımlamasına olanak tanır.
Ayrıca hibrit kimlik doğrulama dağıtımları için aşamalı kullanıma sunma ilerlemesinin izlenmesini de kolaylaştırır. Daha da önemlisi, bit alanı yalnızca birincil özellikli yöntemleri yakalar; Microsoft Authenticator anlık bildirimleri veya yazılım OATH belirteçleri gibi yalnızca ortak ikincil faktörler hariçtir. Bununla birlikte, birincil özellikli bir yöntem ikinci bir faktör olarak görev yaptığında, bit alanında yine de birinci faktörün yanında görünür.
Bu ilerlemelere rağmen, çeşitli bit konumları (örneğin, 5, 7, 9-17, 22, 26 bitleri) gözlemlenen günlüklerde bulunmamaları nedeniyle eşlenmemiş olarak kalmaktadır.
Microsoft yeni kimlik doğrulama seçeneklerini sunmaya devam ettikçe eşlemeyi güncel tutmak için ek analizler gerekecektir.
Araştırma ekibi, topluluğu bu bulguları çeşitli ortamlarda doğrulamaya, eşlenmemiş bitler için eşlemeleri raporlamaya ve bit alanının yapısını açıklayan resmi belgeler için Microsoft’a dilekçe vermeye davet ediyor.
Yapının ortaya çıkarılmasıyla UserAuthenticationMethod bitfield, bu teknik Microsoft 365 denetim günlükleriyle sınırlı ortamlar için kritik bir görünürlük açığını kapatır.
Güvenlik ekipleri artık sayısal değerlerin kodunu kesin kimlik doğrulama olaylarına dönüştürerek Microsoft 365 ve hibrit kimlik altyapılarında olaylara müdahaleyi, uyumluluk denetimini ve risk değerlendirme etkinliklerini geliştirebilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.