Microsoft Entra Kimlik ve Erişim Yönetimi hizmetindeki önemli bir güvenlik açığı ortaya çıkarıldı; bu açık, ayrıcalıklı kullanıcıların erişimlerini küresel yöneticiler haline getirerek bir kuruluşun bulut ortamının tam kontrolünü ele geçirebileceğini ortaya koydu.
Entra ID’deki bu güvenlik açığı, Microsoft sistemlerindeki görünmez kimlik doğrulama mekanizmalarının nasıl kötüye kullanılabileceğini, “Yetkisiz erişime” yol açabileceğini ve kurumsal güvenlik için önemli bir tehdit oluşturabileceğini ortaya koyuyor. Semperis’te Kıdemli Bulut Güvenlik Mimarı olan Eric Woodruff, yakın zamanda düzenlenen Black Hat konferansında Microsoft Entra ID ile ilgili kritik bir sorunu açıkladı. Bu güvenlik açığı, yönetici düzeyinde erişime sahip kullanıcıların katmanlı kimlik doğrulama mekanizmalarını kullanarak kapsamlı genel yönetici ayrıcalıkları elde etmesine olanak tanır.
Temel olarak bu, başlangıçta ayrıcalıklı erişime sahip bir saldırganın, bulut ortamının herhangi bir yönünü manipüle etme gücüne sahip bir süper yönetici olmak için statüsünü yükseltebileceği anlamına gelir. Woodruff’un sunumunda açıkladığı gibi, “Bulutta bir etki alanı yöneticisi olmak gibidir. Küresel bir yönetici olarak her şeyi yapabilirsiniz: Microsoft 365’te insanların e-postalarına girebilir, Azure’a bağlı herhangi bir uygulamaya geçebilirsiniz, vb.”
Microsoft Entra ID Güvenlik Açığına Genel Bakış
Entra ID, Microsoft 365 ve Azure platformları genelinde erişimi yönetme ve güvence altına almada önemli bir rol oynar. Her bir kurumsal kiracı içinde Entra ID, belirli roller ve izinler atanan “hizmet sorumluları” aracılığıyla kullanıcıları, grupları ve uygulamaları temsil eder.
Woodruff’un keşfettiği kusur, Uygulama Yöneticisi veya Bulut Uygulama Yöneticisi gibi ayrıcalıklı rollere sahip kullanıcıların kimlik bilgilerini doğrudan bir hizmet sorumlusuna atayabilmesinden kaynaklanıyor. Bu sistem tasarımı kusuru, bu yükseltilmiş ayrıcalıklara sahip bir saldırganın Entra ID ile arayüz oluştururken hedeflenen uygulama gibi görünmesini sağlar. Saldırgan, OAuth 2.0 istemci kimlik bilgisi verme akışını kullanarak, kimlik bilgilerini erişim belirteçleriyle değiştirebilir ve böylece kaynaklara yetkisiz erişim elde edebilir.
Woodruff, üç güvenlik açığı bulunan uygulama hizmeti sorumlusunu vurguladı: Saldırganların Küresel Yöneticiler de dahil olmak üzere kullanıcıları silmesine izin veren Viva Engage (eski adıyla Yammer); saldırganların uygunsuz şekilde kullanıcı ekleyebildiği Microsoft Rights Management Service; ve saldırganların ayrıcalıklarını Küresel Yönetici statüsüne yükseltmesine olanak sağlayan Device Registration Service. Microsoft Security Response Center (MSRC) bu güvenlik açıklarını sırasıyla orta, düşük ve yüksek önem derecesine göre derecelendirdi ve Device Registration Service sorunu en kritik olanıydı.
Woodruff, saldırganların potansiyel olarak kendilerini üst düzey rollere yükseltebileceği için bu hizmet aracılığıyla ayrıcalık yükseltmenin önemli riskine vurgu yapıyor. Microsoft, bunu ele almak için hizmet sorumlularında kimlik bilgisi kullanımını kısıtlamak için yeni denetimler getirdi. Şimdi, ayrıcalık yükseltme için Cihaz Kayıt Hizmetini kullanma girişimleri Microsoft Graph’tan bir hata tetikleyecek ve böylece yetkisiz ayrıcalık artışları önlenecek ve güvenlik önlemleri geliştirilecek.
Potansiyel İstismar ve Tespit
Şu anda, bu güvenlik açığının vahşi doğada istismar edildiğine dair net bir kanıt yok. Olası istismarı araştırmak için, kuruluşların Entra ID denetim kayıtlarını gözden geçirmeleri ve kalan saldırgan kimlik bilgilerini aramaları önerilir. Ancak, bu yöntemler kusursuz değildir; kayıtlar sona erebilir ve saldırganlar faaliyetlerini gizleyebilir, bu da tespiti zorlaştırır.
Woodruff endişe verici bir eğilimi vurguluyor: “Microsoft ekosisteminde kapsamlı bir şekilde çalıştıktan sonra, birçok kuruluşun uygulama yöneticileri etrafında nispeten gevşek bir güvenliğe sahip olduğunu gördüm. Bu, ayrıcalık zincirleri nedeniyle tehlikeye atılmış bir yardım masası hesabının etki alanı yöneticisi durumuna yol açabileceği yaygın bir saldırı vektörüdür.”
Bu kusurun keşfi, güvenlik uygulamaları içindeki daha geniş bir sorunu vurguluyor. Woodruff, “Bir nevi şöyleydi: Ah, birçok kuruluştaki bu uygulama yöneticileri olması gerektiği gibi korunmuyor.” diyor.
Ayrıcalık yükseltme saldırıları, küresel çapta güvenlik ekipleri için büyük bir endişe kaynağıdır. Bu saldırılar genellikle saldırganların daha az izlenen hesaplara erişmek ve ardından ayrıcalıklarını tespit edilmeden yükseltmek için güvenlik açıklarını istismar ettiği daha geniş bir yanal hareket stratejisinin parçasıdır. Görünmez kimlik doğrulama mekanizmalarındaki bu tür güvenlik açıkları, tehdit aktörlerinin hassas sistemler üzerinde kontrol sağlamasını önemli ölçüde kolaylaştırabilir.
Sonuç olarak, Microsoft Entra ID açığı, titiz güvenlik önlemlerine ve ayrıcalıklı hesapların sürekli izlenmesine yönelik kritik ihtiyacı örneklemektedir. Kuruluşlar bulut hizmetlerine ve kimlik yönetimi çözümlerine giderek daha fazla güvendikçe, yetkisiz erişimi önlemek ve sağlam güvenlik protokollerini sağlamak için bu tür güvenlik açıklarına karşı koruma sağlamak en önemli öncelik olmalıdır.