Çok faktörlü kimlik doğrulama (MFA), parolaların ötesinde ekstra bir koruma katmanı ekleyerek işletmeler ve bireyler için siber güvenliğin omurgası haline geldi. Ancak yakın zamanda yapılan Pen Test Partners (PTP) araştırması, bulut tabanlı bir kimlik ve erişim yönetimi çözümü olan Microsoft Azure Entra ID için potansiyel bir atlama yöntemi belirledi.
Sorun nasıl keşfedildi?
Sorun, araştırmacıların şirket içi Active Directory ağında Etki Alanı Yöneticisi ayrıcalıklarını elde ettiği ancak Azure Entra ID ile kimlik doğrulaması gerektirdiğinden Azure bulut mülkündeki hassas verilere erişemediği bir Kırmızı Ekip etkileşimi sırasında tespit edildi.
Blog gönderilerine göre araştırmacılar daha sonra Azure Sorunsuz Tek Oturum Açma’nın (SSO) kullanıcıların Azure Entra ID korumalı kaynaklara parola olmadan erişmesine olanak tanıyan bir yöntem keşfettiler. Bu, iki TGS bileti kullanılarak başarıldı:
- HTTP/aadg.windows.net.nsatc.net
- HTTP/autologon.microsoftazuread-sso.com
Azure’da Çok Faktörlü Kimlik Doğrulamayı Atlamak:
PTP ekibi, bir tarayıcının kullanıcı aracısını değiştirerek Azure’un SSO için MFA gereksinimini başarıyla atladı. Linux’ta Chrome’a benzeyen bir tarayıcı kullandılar ancak MFA’nın gerekli olduğunu belirten bir hata mesajıyla karşılaştılar.
MFA’yı atlamak için etki alanına katılmış bir makinede olmaları gerekiyordu ve bunu bir proxy aracılığıyla yaptılar. Ancak meşru dizüstü bilgisayarları kilitlendi ve yalnızca Edge ve Chrome kuruldu. Firefox’un taşınabilir bir sürümünü indirdiler ve etki alanına katılan dizüstü bilgisayara yüklediler ve MFA’yı başarıyla atlayabildiler.
Sorunun Temel Nedenleri
Bu sorunun en yaygın nedenleri arasında otomatik sistemlerin MFA olmadan Linux’a erişmesine izin veren geniş bir bypass’ın eklenmesi, Entra ID içindeki Koşullu Erişim Politikalarının MFA’ya ne zaman ihtiyaç duyulacağını belirleyen yanlış yapılandırılması veya politikanın yanlışlıkla devre dışı bırakılması yer alır.
Güvenlik açığının belirli dahili uygulamalar için kullanılabilir olması, güvenlik için doğru Entra ID yapılandırmasının önemini vurgulamaktadır. Saldırının herhangi bir kullanıcı için tekrarlanabilir olması, bulut ortamlarını kötü niyetli aktörlerden korumak için güçlü güvenlik önlemlerinin önemini vurgulamaktadır.
Kuruluşlar, güncel koşullu erişim politikalarını kullanarak, düzenli olarak yama uygulayarak, anormallikler için oturum açma girişimlerini izleyerek ve bilinen güvenlik açıklarını gidermek ve genel güvenliği iyileştirmek için uç nokta algılama ve yanıt (EDR) çözümleri gibi ek güvenlik katmanlarını keşfederek tehdidi azaltabilir.
İLGİLİ KONULAR
- Azure OMIGOD güvenlik açıklarından yararlanan Mirai botnet
- Microsoft Azure, Tespit Edilemeyen Kripto Madenci Oluşturmak İçin Kullanıldı
- Microsoft, Azure güvenlik açığının kullanıcıları veri hırsızlığına maruz bıraktığı konusunda uyardı
- Beyaz şapkalı bilgisayar korsanları Azure Cosmos DB kullanıcılarının birincil anahtarlarına erişti
- Microsoft Azure Blob hesabı sızıntısında açığa çıkan hassas kaynak kodları