Araştırmacılar, Microsoft Azure AD’de, önceden oluşturulmuş güvene dayanan hesapları devralmak için kullanılabileceğini iddia ettikleri bir kusur buldular.
Araştırmacılar, Microsoft Azure AD’deki bir kusurun, saldırganlar tarafından önceden oluşturulmuş güvene dayanan hesapları ele geçirmek için kullanılabileceğini keşfettiler.
Özetle, Microsoft Azure AD, bir hesapla ilişkili e-posta adresini, o e-posta adresinin kontrolünde olup olmadığınızı doğrulamadan değiştirmenize olanak tanır. Ve Microsoft Azure AD OAuth uygulamalarında bu e-posta adresi benzersiz bir tanımlayıcı olarak kullanılabilir.
Peki, bu bir hesap devralmada nasıl kullanılabilir?
Araştırmacılar tarafından nOAuth olarak adlandırılan bu kusurun nasıl çalıştığını anlamak için birkaç adım geriye gitmemiz ve OAuth’un nasıl çalıştığını açıklamamız gerekiyor.
OAuth (Açık Yetkilendirmenin kısaltması), standart bir yetkilendirme protokolüdür. Bir uygulamadan korunan verilere erişmemizi sağlar. Genel olarak, OAuth protokolü, kaynak sahiplerinin sunucu kaynaklarına güvenli yetki verilmiş erişime sahip bir istemci veya uygulama sağlaması için bir yol sağlar. Kaynak sahiplerinin, kimlik bilgilerini sağlamadan sunucu kaynaklarına üçüncü taraf erişimine izin verme sürecini belirtir.
Ne olduğunu ve nasıl çalıştığını bilmeden birçok kez OAuth ile uğraşmışsınızdır. Örneğin, bazı siteler Facebook kimlik bilgilerinizi kullanarak oturum açmanıza izin verir. Her site için aynı parolayı kullanmak için geçerli olan aynı mantık, diğer sitelerde oturum açmak için Facebook kimlik bilgilerinizi kullanmak için de geçerlidir. Bunu önermiyoruz çünkü herhangi biri hepsini kontrol eden tek bir şifreyi ele geçirirse, sadece bir sitenin şifresinin ele geçirilmesinden daha büyük bir belaya girersiniz.
Yukarıda kullandığımız örnekte Facebook, kimlik sağlayıcı (IdP) olarak adlandırılır. Diğer iyi bilinen IdP’ler Google, Twitter, Okta ve Microsoft Azure AD’dir. OAuth’taki “Açık” konseptin çalışması için kimlik doğrulama, IdP ile önceden oluşturulmuş güvene dayalıdır. Örneğimizde, Facebook’ta oturum açtığınız için diğer site veya hizmet kimliğinizi kabul eder ve erişmenize izin verir.
Azure AD, OAuth uygulamalarını kullanan Microsoft 365, Azure portal ve diğer binlerce hizmet olarak yazılım (SaaS) uygulamaları gibi dış kaynaklara kullanıcı erişimini yönetir. Aradaki fark, çoğu IdP’nin tanımlayıcı olarak bir e-posta adresinin kullanılmamasını önermesidir, ancak Microsoft Azure AD bunu kabul eder.
Bu açığı kötüye kullanmak isteyen saldırganın yönetici olarak bir Azure AD hesabı oluşturması gerekir. Bunu kontrolleri altındaki bir e-posta adresini kullanarak yapabilirler. Hepsi ayarlandığında, E-posta özniteliğini hedefe ait olanla değiştirebilirler. Buradaki ana kusur, bunun herhangi bir doğrulama gerektirmemesidir.
Artık saldırganın tek yapması gereken, ele geçirmek istediği siteyi veya hizmeti açmak ve “Microsoft ile Giriş Yap” seçeneğini seçmek. Sağlanan e-posta adresiyle ilişkili hesaba otomatik olarak giriş yapacaklar. Gerçek operatöre değil, kurbana ait olan hangisiydi?
Bu noktadan sonra kalıcılık kazanmak, bilgi çalmak veya hesabı tamamen ele geçirmek için gerekli değişiklikleri yapabilirler. Şans eseri, kurban “yeni bir cihazdan giriş yaptınız” türünde bir bildirim alacaktır, ancak bu en iyi senaryodur.
Yine de saldırgan için bir uyarı var. Tüm siteler ve hizmetler e-posta adresini benzersiz bir tanımlayıcı olarak kullanmaz.
Araştırmacılar, Microsoft’u ve diğer paydaşları sorun hakkında bilgilendirdi ve bu tür hesap devralmalarını engellemek için adımlar atılıyor.
Microsoft, geliştiricilere “e-posta” talebini erişim belirtecinde benzersiz bir tanımlayıcı olarak kullanmamalarını bildiren mevcut belgelere zaten sahipti ve açıklamanın ardından, bir geliştiricinin kimlik doğrulamasını uygularken göz önünde bulundurması gereken tüm bilgileri içeren Talep Doğrulama hakkında özel bir sayfa yayınladı.
Araştırmacılar, konsept kanıtlarını yüzlerce web sitesi ve uygulamada test ettiklerini ve birçoğunu savunmasız bulduklarını söylüyorlar. PoC’yi etkilenen her kuruluşla paylaştılar ve onları güvenlik açığı hakkında bilgilendirdiler. Etkilenen uygulamaların çoğu hızlı bir şekilde yanıt verip sorunu çözerken, test edilen uygulamaların sayısı İnternet okyanusunda yalnızca bir damla kadardı.
Bu nedenle, Azure AD’yi bir IdP olarak kullanan bir site veya hizmet çalıştırıyorsanız, lütfen E-posta özniteliğini kabul etmediğinizi kontrol edin çünkü e-posta talebi hem değiştirilebilir hem de doğrulanmamış olduğundan asla güvenilmemeli veya tanımlayıcı olarak kullanılmamalıdır.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE