Güvenlik araştırmacıları, Microsoft’un “UnOAuthorized” adı verilen Entra ID’sinde (eski adıyla Azure Active Directory) beklenen kontrollerin ötesinde yetkisiz eylemlere izin verebilecek güvenlik açıkları keşfetti.
OAuth 2.0 kapsam izinlerine odaklanan bulgular, saldırganların ayrıcalıkları yükseltmesine ve Microsoft ortamlarında varlığını sürdürmesine olanak tanımış olabilir.
En endişe verici keşif, Entra ID’deki en yüksek erişim düzeyi olan Küresel Yönetici rolü de dahil olmak üzere ayrıcalıklı rollerden kullanıcı ekleme ve kaldırma yeteneğiyle ilgiliydi.
Bu güvenlik açığının istismar edilmesi halinde, tehdit aktörlerinin Microsoft 365, Azure ve bağlı SaaS uygulamaları arasında ayrıcalık yükseltme ve yatay hareket gerçekleştirmesine olanak tanıyabilir.
Keşif, başlatıcının Entra ID’de Uygulama Yöneticisi veya Bulut Uygulama Yöneticisi rolünü üstlenmesini gerektirdi. Ayrıcalıklı statülerine rağmen, bu roller genellikle gerekli güvenlik önlemleriyle ele alınmaz ve bu da onları saldırganlar için çekici hedefler haline getirir.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download
Yetkisiz Microsoft Entra Kimlik Açığı
Semperis’teki araştırma ekibine göre, güvenlik açığı Entra ID’nin OAuth 2.0 kapsamında (izinler) keşfedildi ve bu da saldırganların beklenen yetkilendirme kontrollerinin ötesinde eylemler gerçekleştirmesini sağladı. En endişe verici keşif, Küresel Yönetici rolü de dahil olmak üzere ayrıcalıklı rollere kullanıcı ekleme ve kaldırma yeteneğiyle ilgiliydi.
Araştırma ekibi, belirli Microsoft uygulama hizmeti yöneticilerinin yetkili izinler listesinde tanımlanmayan belirli eylemleri gerçekleştirmelerine izin verildiğini buldu.
Bu, saldırganların, bir kullanıcıyı Küresel Yönetici rolüne eklemek gibi ayrıcalıklı eylemleri, bunu yapma iznine sahipmiş gibi görünmeden gerçekleştirmelerine olanak sağladı.
Güvenlik açığı, Viva Engage (Yammer), Microsoft Rights Management Service ve Device Registration Service dahil olmak üzere çeşitli Microsoft uygulamalarında keşfedildi. MSRC, saldırganların Global Administrator rolü de dahil olmak üzere ayrıcalıklı rollerin üyeliğini değiştirmesine izin verdiği için Device Registration Service bulgusunu önemli bir ciddiyet güvenlik açığı olarak sınıflandırdı.
“Entra ID’de müşteriler, çoğu Microsoft uygulama hizmeti sorumlusuna kimlik bilgileri atayabilir. Bunu, Aygıt Kayıt Hizmetine bir kimlik bilgisi atamak için kullandık ve bu da Microsoft Graph’a bu hizmet olarak erişmemizi sağladı.” Semperis Araştırmacıları söyledi.
Microsoft Uygulamaları aracılığıyla ayrıcalıkların yükseltilmesi
Araştırma, belirli Microsoft uygulama hizmeti yöneticilerinin aşağıdakiler için açıkça yetkilendirilmiş izinlere sahip olmadan ayrıcalıklı eylemler gerçekleştirebileceğini buldu.
Bir kullanıcıyı Cihaz Kayıt Hizmeti olarak Küresel Yönetici rolüne ekleme.
Cihaz Kayıt Hizmeti için boş kapsamlar (izinler).
Başarılı rol yönetimini gösteren Entra ID denetim günlüğü sonuçları.
Bu güvenlik açıkları aracılığıyla herhangi bir kuruluşun tehlikeye atılıp atılmadığı belirsizliğini korurken, potansiyel etki kapsamlıydı. Saldırganlar, kalıcı tehditler yüklemek veya rol atamalarını tespit edilmeden manipüle etmek için erişimi kullanabilirdi.
Kuruluşların, Entra Kimlik denetim günlüklerini incelemeleri ve özellikle Cihaz Kayıt Hizmeti ile ilişkili olanlar olmak üzere hizmet sorumlularında şüpheli kimlik bilgileri olup olmadığını kontrol etmeleri önerilir.
Semperis, söz konusu güvenlik açıklarını tespit ettikten sonra bulguları derhal Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) bildirdi.
Microsoft, o zamandan beri hizmet sorumluları üzerinde kimlik bilgilerinin kullanımını kısıtlamak için ek denetimler uyguladı ve bu sayede yetkisiz erişim riskini önemli ölçüde azalttı.
Riskleri azaltmak için kuruluşlar Uygulama Yöneticilerine ve Bulut Uygulama Yöneticilerine, Küresel Yöneticilerle aynı düzeyde güvenlik sağlamalıdır.
Ayrıcalık ayrımı, ayrıcalıklı erişim iş istasyonları ve güçlü, kimlik avına dayanıklı kimlik doğrulama gibi en iyi uygulamaları uygulamak hayati önem taşır
Keşifler, dijital ortamların korunmasında sürekli izleme ve sağlam güvenlik uygulamalarının önemini vurgulamaktadır. Semperis ve Microsoft, kullanıcıları ortaya çıkan tehditlerden korumak için güvenlik önlemlerini geliştirmeye devam etmektedir.
Are you from SOC and DFIR Teams? – Analyse Live Malware Incidents with ANY.RUN -> Get 14 Days Free Access