Araştırmacılar, rakiplerin çok faktörlü kimlik doğrulamasını (MFA) atlamasına ve Microsoft 365, Azure portalı ve ekipler gibi bulut sunucularına kalıcı erişimi sürdürmesine izin veren “çerez-ısırık saldırısı” olarak adlandırılan sofistike bir siber saldırı tekniğini ortaya çıkardılar.
Bu yöntem, güvenlik uyarılarını tetiklemeden meşru kullanıcıları taklit etmek için özellikle Azure Entra Kimlik Doğrulama jetonlarını hedefleyen çalıntı tarayıcı çerezlerinden yararlanır.
Bu oturum çerezlerinden yararlanarak, saldırganlar yüksek değerli kurumsal uygulamalara sorunsuz bir şekilde erişebilir ve dünya çapında kurumsal ağlar için ciddi bir risk oluşturabilirler.
.png
)
Oturum kaçırma teknik derinliği
Çerez ısırığı saldırısı, doğrudan bir kurbanın tarayıcısından kimlik doğrulama çerezlerini çıkarmak için Infostealer kötü amaçlı yazılım, özel kötü amaçlı tarayıcı uzantıları ve otomasyon komut dosyalarının bir kombinasyonu ile çalışır.
Infostealers, genellikle Darknet MarketPlacvares’de Hizmet Olarak Kötü Yazılım (MAAS) modeli altında satılan oturum belirteçleri de dahil olmak üzere hassas verileri çalmak için sistemlere sızar.
Ortada düşman (AITM) kimlik avı, tarayıcı proses bellek dökümü ve yerel olarak saklanan çerezlerin şifre çözme gibi teknikler, saldırganların bu belirteçleri düz metin olarak yakalamasını sağlar.
Araştırmacılar tarafından detaylandırılan bir kavram kanıtı (POC), Microsoft’un kimlik doğrulama portalında giriş olaylarını izleyen ve Google Forms aracılığıyla çerezleri harici bir sunucuya açığa çıkaran özel bir krom uzantısı sergiliyor.
Tamamlayıcı bir PowerShell betiği, kalıcılığı sağlayarak dağıtımı otomatikleştirirken, çerez editör gibi araçlar, oturum kaçırma için saldırganın tarayıcısına çalınan çerezleri enjekte etmeyi kolaylaştırır.
Rapora göre, bu yaklaşım, Azure Entra ID’nin önceden onaylanmış olarak tanıdığı ve daha fazla kimlik bilgisi istemlerine olan ihtiyacı ortadan kaldıran geçerli oturum belirteçlerini yeniden kullanarak MFA’yı atlıyor.
Sıkıştırma sonrası saldırganlar, Microsoft Graph API üzerinden Outlook veya SharePoint gibi kurumsal uygulamalara erişebilir, kullanıcıları numaralandırabilir, verileri dışarı atabilir veya oauth tokenlerini manipüle etmek ve geniş erişim için yenileme jetonlarını ekstrakte etmek için jetonsmith ve aadinternals gibi araçları kullanarak ayrıcalıkları artırabilir.
Yeri veya cihaz uyumluluğuna göre erişimi kısıtlayan koşullu erişim politikaları (CAPS) bile, saldırganlar, mağdurun ortamını, meşru istekleri simüle etmek için IP adresleri, tarayıcı sürümleri ve kullanıcı aracıları gibi verileri toplayarak algılamadan kaçınabilir.
“Beni oturum açın” etkinleştirildiğinde 90 güne kadar geçerli olan çalıntı estsauthpersistent çerez, bulut altyapısının uzun vadeli bir anahtarı olarak hareket ederek sürekli yetkisiz erişim sağlıyor.
Bu kalıcı tehdit, ilk ihlallerin ötesine uzanarak kiracılar içindeki yanal harekete, veri manipülasyonuna ve potansiyel tam ağ uzlaşmasına izin verir.
Bununla mücadele etmek için kuruluşlar, anormal kullanıcı davranışı için izlemeyi geliştirmeli, oturum açma anomalileri için Microsoft risk algılamasından yararlanmalı ve jeton koruması olan uyumlu cihazlara bağlı CAP’leri uygulamalıdır.
Tarayıcı uzantılarını onaylanmış bir listeyle sınırlamak için Chrome ADMX politikalarının uygulanması da kritiktir.
Çerez ısırığı saldırısı ürpertici bir gerçekliğin altını çiziyor: MFA gibi geleneksel savunmalar artık gelişen oturum kaçırma tekniklerine karşı yeterli değil.
Saldırganlar tarayıcı tabanlı güvenlik açıklarından yararlanma yöntemlerini geliştirdikçe, işletmeler bulut ortamlarını bu kadar gizli ve kalıcı tehditlerden korumak için proaktif, çok katmanlı güvenlik stratejilerini benimsemelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!