Güvenlik araştırmacıları, Microsoft Entra kimliğinde saldırganların ayrıcalıkları artırmasına ve küresel yönetici erişimi kazanmasına olanak tanıyan ve tüm organizasyonel ortamlardan ödün vererek kritik bir güvenlik açığı ortaya çıkardılar.
Bu kusur, Microsoft’un bulut kimliği ve erişim yönetim platformuna dayanan işletmeler için önemli bir güvenlik riskini temsil eder.
Güvenlik Açığı Detayları
Microsoft Entra Kimliğinde keşfedilen güvenlik açığı, tehdit aktörlerinin kimlik doğrulama mekanizmalarını kullanmaları ve dizin hizmetindeki ayrıcalıklarını artırmaları için bir yol oluşturur.
Kusur, özellikle kimlik ve erişim yönetimi (IAM) altyapısını hedefler ve yetkisiz kullanıcıların bir entra kimliği kiracısı içindeki en yüksek erişimi temsil eden küresel yönetici ayrıcalıkları kazanmasına izin verir.
Güvenlik araştırmacıları, bu ayrıcalık artış tekniğinin, Microsoft Entra ID ortamlarındaki izinleri yöneten Rol Tabanlı Erişim Kontrolü (RBAC) sistemindeki zayıflıklardan faydalandığını tespit etmişlerdir.
Güvenlik açığı, saldırganların normal kimlik doğrulama ve yetkilendirme kontrollerini atlamasını sağlar ve hassas idari işlevleri koruyan güvenlik sınırlarını etkili bir şekilde atlatır.
Teknik sömürü yöntemleri
Saldırı vektörü, Azure Active Directory API çağrılarını manipüle etmeyi ve sistemin ayrıcalık yükseklik istekleri sırasında kullanıcı izinlerini nasıl doğruladığı konusunda tutarsızlıklardan yararlanmayı içerir.
Saldırganlar, normalde uygun kimlik doğrulama ve yetkilendirme iş akışlarını gerektirmesi gereken yüksek izinler talep etmek için belirli API uç noktalarından yararlanabilir.
Sömürü süreci, özellikle kullanıcı rollerini ve izinleri yönetmekten sorumlu uç noktalara odaklanan Microsoft Graph API altyapısını hedefleyen kötü niyetli isteklerin hazırlanmasını içerir.
Bu teknik, tehdit aktörlerinin geleneksel güvenlik kontrollerini atlamasına ve tipik olarak meşru küresel yöneticiler için ayrılmış idari işlevlere yetkisiz erişim kazanmasına izin verir.
Tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim politikaları için Microsoft Entra Kimliği kullanan kuruluşlar önemli maruz kalma riskleri ile karşı karşıyadır.
Başarılı bir ayrıcalık saldırı saldırısı, saldırganlara kullanıcı hesapları, güvenlik politikaları ve Microsoft 365 ekosisteminde depolanan hassas organizasyonel veriler üzerinde kapsamlı kontrol sağlayabilir.
Güvenlik açığı, kiracı çapında yapılandırmaları etkiler, potansiyel olarak saldırganların güvenlik ayarlarını değiştirmesine, yeni yönetim hesapları oluşturmasına ve bağlantılı tüm uygulama ve hizmetlerde gizli bilgilere erişmesine izin verir.
Bu erişim seviyesi, tehdit aktörlerinin kalıcı arka kapı kurmasını ve kurumsal kaynaklara uzun vadeli yetkisiz erişimi sürdürmesini sağlayabilir.
Kuruluşlar, alışılmadık ayrıcalık artış faaliyetleri için derhal gelişmiş izleme uygulamalı ve mevcut kimlik yönetişim çerçevelerini gözden geçirmelidir.
Güvenlik ekipleri, idari işlevlere erişmek ve hassas işlemler için ek doğrulama adımları uygulamak için yetkisiz girişimleri tespit etmek için sağlam denetim günlüğü mekanizmaları oluşturmalıdır.
Microsoft bu güvenlik açığı hakkında bilgilendirildi ve kuruluşlar gelecek güvenlik güncellemelerine hazırlanmalıdır.
Bu arada, işletmeler sıfır tröst mimarlık uygulamalarını güçlendirmeli ve uygun erişim kontrollerinin yerinde kalmasını sağlamak için mevcut küresel yönetici ödevlerinin kapsamlı incelemelerini yapmalıdır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now