“Çerez-ısırma” olarak adlandırılan siber suçluların çok faktörlü kimlik doğrulamasını (MFA) sessizce atlamasını ve bulut ortamlarına kalıcı erişimi sürdürmesini sağlar.
Varonis tehdit laboratuvarları, saldırganların, kimlik bilgileri gerekmeden meşru kullanıcıları taklit etmek için çalıntı tarayıcı çerezlerinden yararlandığını ve geleneksel MFA korumalarını etkili bir şekilde eski haline getirdiğini ortaya koydu.
Saldırı, Azure Entra ID (eski adıyla Azure Active Directory) tarafından kullanılan kritik kimlik doğrulama çerezlerini, özellikle ESTSAuth ve EstsauthPersistent’i hedefliyor. Bu çerezler kimliği doğrulanmış bulut oturumlarını sürdürür ve Microsoft 365, Azure Portal ve çeşitli kurumsal uygulamalara erişimi sağlar.
.png
)
Araştırmacılar, “Bu oturum belirteçlerini ele geçirerek saldırganlar MFA’yı atlayabilir, kullanıcıları taklit edebilir ve bulut ortamlarında yanal olarak hareket edebilir” diye açıkladı. “Bu onları infostalers ve tehdit aktörleri için en değerli hedeflerden biri haline getiriyor.”
Siber suçlular, aşağıdakileri içeren bu kimlik doğrulama çerezlerini çalmak için birden fazla yöntem kullanır:
- Çerezleri gerçek zamanlı olarak kesmek için ters proxy araçlarını kullanarak ortadaki düşman (AITM) saldırıları.
- Tarayıcı, aktif oturumlardan şifre çözülmüş çerezleri çıkarmak için bellek dökümü.
- Çerezlere doğrudan tarayıcının güvenlik bağlamında erişen kötü niyetli tarayıcı uzantıları.
- Yerel olarak depolanmış tarayıcı çerez veritabanlarını çözmek.
Araştırmacıların kavram kanıtı, kullanıcılar Microsoft’un kimlik doğrulama portalına giriş yaptıklarında kimlik doğrulama çerezlerini sessizce çıkaran özel krom uzantıları nasıl oluşturabileceğini gösterdi.
Bu çerezler daha sonra saldırgan kontrollü sunuculara eklenir ve kurbanın bulut oturumuna anında erişmek için tehdit aktörünün tarayıcısına enjekte edilebilir.
Kimlik bilgileri olmadan kalıcı erişim
Çerez ısırığını özellikle tehlikeli kılan, kalıcı doğasıdır. Geleneksel kimlik hırsızlığından farklı olarak, bu teknik kurbanın şifresini bilmeyi veya MFA kodlarını ele geçirmeyi gerektirmez. Dağıtım yapıldıktan sonra, kötü niyetli uzatma, mağdur her oturum açtığında taze kimlik doğrulama çerezlerini çıkarmaya devam eder.
Araştırmacılar, “Bu teknik, şifreler değiştirilse veya oturumlar iptal edilse bile uzun vadeli yetkisiz erişim sağlayarak geçerli oturum çerezlerinin sürekli olarak çıkarılmasını sağlar” dedi.
Daha da önemlisi, saldırının kuruluşların ek bir güvenlik katmanı olarak dağıttığı koşullu erişim politikalarını (CAPS) atlatma yeteneğidir.
Saldırganlar, alan adı, ana bilgisayar adı, işletim sistemi, IP adresi ve tarayıcı parmak izi dahil olmak üzere kurbanın ortamı hakkında ayrıntılar toplayarak meşru erişim modellerini doğru bir şekilde taklit edebilir.
Başarılı kimlik doğrulama ile saldırganlar, Microsoft Graph Explorer gibi kritik kurumsal uygulamalara erişerek, kullanıcıları numaralandırmalarına, e -postalara erişmelerine ve kuruluş içindeki ayrıcalıkları potansiyel olarak artırmalarına olanak tanır.
Güvenlik uzmanları, çerez-ısırık saldırılarına karşı korumak için birkaç karşı önlem öneriyor:
- Anormal kullanıcı davranış kalıpları ve şüpheli imzalar için sürekli olarak izleyin.
- Oturum açma olayları sırasında Microsoft risk algılama özelliklerini kullanın.
- Yalnızca uyumlu cihazlardan oturum açmayı zorlayan koşullu erişim politikalarını yapılandırın.
- Tarayıcı uzantılarını onaylanmış bir izin listesiyle sınırlamak için krom politikaları uygulayın.
- Token hırsızlığını tespit etmek ve önlemek için jeton koruma mekanizmalarını dağıtın.
Bulut benimsemesi hızlandıkça, bu çerez kaçırma teknikleri kimlik doğrulama tabanlı saldırıların gelişen doğasını vurgulamaktadır. Kuruluşlar, güvenlik duruşlarını, bulut kimlik doğrulama sistemlerinin temel güven mekanizmalarını hedefleyen bu sofistike tehditleri ele almak için uyarlamalıdır.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy