BLACK HAT USA – Las Vegas – Çarşamba, 7 Ağustos – Microsoft’un Entra ID kimlik ve erişim yönetim hizmetindeki belirsiz bir sorun, bir bilgisayar korsanının bir kuruluşun bulut ortamının her köşesine erişebilmesine olanak tanıyabilir.
Kritik olarak, saldırı bir hacker’ın halihazırda bir yönetici düzeyindeki hesaba erişiminin olmasını gerektirir. Ancak bu durumda, olasılıklar sınırsızdır. Bugün yerel saatle 16:20’de Black Hat’teSemperis’in kıdemli bulut güvenliği mimarı Eric Woodruff, böyle bir konumdaki saldırganın Entra ID’deki katmanlı kimlik doğrulama mekanizmalarından yararlanarak nasıl kapsamlı küresel yönetici ayrıcalıkları elde edebileceğini açıklayacak.
Küresel yönetici ayrıcalıklarına sahip bir saldırgan, bir kuruluşun bulut ortamındaki herhangi bir bağlı hizmete, hassas verilere erişmek ve kötü amaçlı yazılım yerleştirmek dahil ancak bunlarla sınırlı olmamak üzere her şeyi yapabilir. Woodruff’un açıkladığı gibi, “Bulutta bir etki alanı yöneticisi olmak gibidir. Küresel bir yönetici olarak, kelimenin tam anlamıyla her şeyi yapabilirsiniz: Microsoft 365’te insanların e-postalarına girebilir, Azure’a bağlı herhangi bir uygulamaya geçebilirsiniz, vb.”
Bulutta Yetkisiz Erişim
Entra ID, Microsoft 365 ve Azure kullanan tüm kuruluşlar için bulut uygulamaları ve hizmetleri genelinde erişimi ve izinleri yönetip güvence altına alarak merkezi bir rol oynar.
Her kiracı (kuruluş) içinde Entra Kimliği, kullanıcıları, grupları ve uygulamaları “hizmet sorumluları” olarak temsil eder ve bunlara bir tür veya başka bir türde rol ve izin atanabilir.
Woodruff tarafından tanımlanan sorun, ayrıcalıklı Uygulama Yöneticisi veya Bulut Uygulama Yöneticisi rollerine sahip kullanıcıların kimlik bilgilerini doğrudan bir hizmet sorumlusuna atayabilmesiyle başlar. Bu tür ayrıcalıklara sahip bir saldırgan, Entra ID ile arayüz oluştururken hedeflenen uygulamaları gibi davranmak için bu sistem tuhaflığını kullanabilir.
Daha sonra saldırgan, kaynaklara erişim sağlayan token’lar için kimlik bilgilerini değiştirerek OAuth 2.0 istemci kimlik bilgisi verme akışını takip edebilir. İkinci büyük sorun burada devreye girer. Woodruff, araştırması sırasında, yürütme iznine sahip olmadıkları görünen eylemleri gerçekleştirebilen üç uygulama hizmeti sorumlusu belirledi:
-
Kurumsal sosyal ağ hizmeti Viva Engage’de (eski adıyla Yammer), Küresel Yöneticiler de dahil olmak üzere kullanıcıları kalıcı olarak silme olanağı.
-
Microsoft Rights Management Service’te kullanıcı ekleme yeteneği.
-
Aygıt Kayıt Hizmeti için ayrıcalıkları Küresel Yönetici düzeyine yükseltme yeteneği
Microsoft Güvenlik Yanıt Merkezi (MSRC) bu açıklara sırasıyla orta, düşük ve yüksek önem dereceleri atadı.
Woodruff, Cihaz Kayıt Hizmetiyle ilgili sorunun diğerlerinden çok daha önemli olduğunu vurguluyor. “Genellikle, Yönetici rollerini günlük, sıradan işler yapan kişilere devredersiniz. [in your organization]Bunu yapacak güçleri yok Her neyseAma eğer bizim bulduğumuz bu yolu biliyorlarsa, gidip kendilerine o rolü verebilirler” diye açıklıyor.
Bulut İzinleriyle Başa Çıkma
Woodruff bulgularını Microsoft’a götürdüğünde, şirket aslında “perde arkasındaki” gizli kimlik doğrulama mekanizmaları sayesinde yaptığı şeyi yapmasına izin verildiğini açıkladı.
Dark Reading, bu katmanlı, görünmeyen kimlik doğrulama mekanizmalarının nasıl çalıştığı ve bunların neden var olduğu hakkında daha fazla bilgi almak için Microsoft’a ulaştı.
Şimdilik Microsoft, hizmet sorumlularında kimlik bilgilerinin kullanımını sınırlayan yeni denetimlerle sorunu düzeltiyor. Artık, Aygıt Kayıt Hizmeti kullanılarak ayrıcalık yükseltme girişiminde bulunulduğunda Microsoft Graph bir hata döndürüyor.
Bu sorunun daha önce vahşi doğada istismar edilip edilmediği belirsiz. Woodruff, bunu belirlemek için kuruluşların Entra ID denetim kayıtlarını inceleyebileceğini veya kalan saldırgan kimlik bilgilerine bakabileceğini söylüyor. Ancak, kayıtların belirli bir süre sonra sona erme eğilimi olması ve saldırganların kağıt izlerini her zaman geriye dönük olarak gizleyebilmesi nedeniyle, her iki yöntem de kusursuz değildir.
“Bir süredir Microsoft ekosisteminin tamamında çalıştığım için, birçok güvenlik değerlendirmesi yaptım ve birçok kuruluşun uygulama yöneticileri etrafında nispeten gevşek bir güvenliğe sahip olduğunu gördüm. Bunu bugünlerde haberlerde görüyorsunuz: Birisi yardım masasını hedef alıyor ve bir bakmışsınız, bir ayrıcalık zinciri nedeniyle bir alan yöneticisi oluyorlar,” diyor.
Bu son keşif, aynı örüntünün bir parçası olsa da, yine de biraz şok ediciydi. “Bir nevi şöyleydi: Ah, birçok kuruluştaki bu uygulama yöneticileri gerçekten olması gerektiği gibi korunmuyor,” diyor.