Microsoft Entra ID’deki kritik bir güvenlik açığı, saldırganların birinci taraf uygulamalarının kullanımı yoluyla küresel yönetici rolüne ayrıcalıkları artırmalarını sağlar.
Ocak 2025’te Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) bildirilen güvenlik açığı, federasyonlu alanlara sahip hibrid Active Directory ortamlarını kullanan kuruluşları etkiler.
Key Takeaways
1. Attackers with certain admin or app permissions can hijack the Office 365 Exchange Online service principal.
2. Attackers use the Domain.ReadWrite.All to add a malicious federated domain and forge SAML tokens.
3. Microsoft classified this risk as "expected behavior".
Microsoft Entra Kimlik Güvenlik Açığı
Datadog’daki güvenlik araştırmacıları, Hizmet Müdürleri’nin (SPS) bulut uygulama yöneticisi rolünü, uygulama yöneticisi rolünü veya application.readwrite’ı atadığını keşfetti.
Güvenlik açığı, Office 365 Exchange Online SP’nin Domain.readwrite’dan yararlanarak çalışır.
Saldırganlar daha sonra, küresel yönetici ayrıcalıklarına sahip kullanıcılar da dahil olmak üzere şirket içi Active Directory (AD) ve Entra ID arasında senkronize edilen herhangi bir hibrid kiracı kullanıcısı olarak SAML jetonlarını oluşturabilir.
Saldırı, kimlik doğrulama için Müşteri Kimlik Bilgileri Hibe Akışından yararlanır:
Federe Alan Backdoor Tekniği
Ayrıcalık artışı, federasyonlu alan manipülasyonunu içeren beş aşamalı bir işlemi izler.
Saldırganlar önce Microsoft Graph API Sonpodu Post /v1.0/Domains’i kullanarak kötü amaçlı bir etki alanı ekler, ardından DNS kayıtları aracılığıyla doğrulayın.
Kritik adım, federasyon ayarlarının /v1.0/domains/ {domain }/federationconfiguration aracılığıyla kötü amaçlı bir sertifika ile yapılandırılmasını içerir:
Bu yapılandırma, saldırganların SAML jetonlarını MFA iddialarıyla oluşturmasına izin verir ve oturum açma günlüklerinde meşru kimlik doğrulama görünümünü korurken çok faktörlü kimlik doğrulama gereksinimlerini atlar.
Microsoft’un yanıtı
Datadog, 14 Ocak 2025’te Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) bu güvenlik açığını bir ay süren açıklama sürecini başlattı.
Ancak, 14 Mayıs 2025’te MSRC, bunun “bir güvenlik açığı değil, uygulama yöneticisi rolünün ve bunun ilişkili izinlerinin beklenen davranışı” olduğu sonucuna varmıştır.
Microsoft’un yanıtı, senaryonun bir güvenlik bypassından ziyade yanlış yapılandırmayı yansıttığını vurguladı, uygulama yöneticisi rollerinin doğal olarak uygulama kimlik bilgilerini yönetme ve uygulama kimliklerini taklit etme yeteneğini içerdiğini belirtti.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi