Kullanıcılar Microsoft bulut hizmetlerinde kimlik doğrulaması yaptığında etkinlikleri, birden fazla günlük kaydı sisteminde kaydedilen kimlik doğrulama olaylarını oluşturur.
Microsoft Entra oturum açma günlükleri ve Microsoft 365 denetim günlükleri aynı kimlik doğrulama olaylarını yakalar ancak bu kritik güvenlik verilerini farklı biçimler kullanarak temsil eder.
Olayları araştıran güvenlik analistleri, Microsoft 365 oturum açma olaylarında sıklıkla, Microsoft’un anlamlarını açıklayan resmi belgeleri olmadan 16, 272 veya 33554432 gibi şifreli sayısal değerleri görüntüleyen UserAuthenticationMethod alanıyla karşılaşır.
Bu belgelenmemiş alan, kimlik doğrulama modellerini analiz etmeye, şüpheli oturum açma etkinliklerini belirlemeye veya kimlik avına karşı dirençli kimlik doğrulamanın benimsenmesini değerlendirmeye çalışan güvenlik ekipleri için zorluklar yarattı.
Belge eksikliği, yalnızca Microsoft 365 denetim günlüklerinin mevcut olduğu ortamlarda çalışan olay müdahale ekiplerinin, oturum açma etkinlikleri sırasında kullanıcıların hangi kimlik doğrulama yöntemlerini kullandığını anlamakta zorlanması anlamına geliyordu.
Sekoia analistleri, Microsoft Entra oturum açma günlükleri ile Microsoft 365 denetim günlükleri arasındaki sistematik korelasyon analizi sayesinde UserAuthenticationMethod alanının, her bit konumunun farklı bir kimlik doğrulama yöntemini temsil ettiği bir bit alanı olarak çalıştığını keşfetti.
Bu buluş, güvenlik profesyonellerinin bu sayısal değerleri insan tarafından okunabilen kimlik doğrulama yöntemi açıklamalarına dönüştürmesine olanak tanır.
Araştırma ekibi, kayıt sistemleri arasındaki paylaşılan korelasyon tanımlayıcılarından yararlanarak her bir bit konumunu belirli kimlik doğrulama yöntemleriyle eşleştirdi.
Microsoft 365 denetim günlükleri bir InterSystemsId alanı içerirken Entra ID günlükleri bir korelasyonId alanı içerir ve her ikisi de aynı kimlik doğrulama olaylarına atıfta bulunur.
Araştırmacılar, olayları kaynaklar arasında eşleştirerek sayısal UserAuthenticationMethod değerlerini Entra ID’nin AuthenticationMethodDetail alanlarında bulunan ayrıntılı kimlik doğrulama yöntemi açıklamalarıyla ilişkilendirdi.
Bitfield Haritalama Tekniğinin Kodunu Çözme
Bit alanı yapısı, birden fazla kimlik doğrulama yönteminin aynı anda tek bir sayısal değerde görünmesine olanak tanır.
Örneğin, 272 değeri 100010000 olarak ikiliye dönüştürülür ve Parola Karma Eşitleme’yi (ondalık değer 16) temsil eden bit 4’ü etkinleştirir ve Aşamalı Kullanıma Alma (ondalık değer 256) aracılığıyla temsil eden bit 8’i etkinleştirir ve kimlik doğrulama mekanizması olarak “Aşamalı Kullanıma Alma yoluyla Parola Karması Eşitlemesi”ni belirtir.
Eşleme, bulutta 0. bitte Şifre (ondalık 1), 1. bitte Geçici Erişim Geçişi, 2. bitte Kesintisiz SSO, 18. bitte İş için Windows Merhaba (ondalık 262144) ve 25. bitte Geçiş Anahtarı (ondalık 33554432) dahil olmak üzere belgelenmiş 28 bit konumunu kapsar.
Bununla birlikte, 5, 7, 9-17, 22 ve 26 konumları da dahil olmak üzere birçok bit eşlenmeden kalır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
