Microsoft Entra ID’nin eski girişinde bir kusur, saldırganların MFA’yı atlamasına izin verdi ve yönetici hesaplarını finans, sağlık ve teknoloji sektörlerinde hedef aldı.
Siber güvenlik firması Guardz, Microsoft Entra ID’nin eski outi doğrulama protokollerindeki zayıflıktan yararlanan hedefli bir kampanya keşfetti ve saldırganların çok faktörlü kimlik doğrulama (MFA) gibi modern güvenlik önlemlerini atlamasına izin verdi.
18 Mart ve 7 Nisan 2025 arasında meydana gelen saldırılar, BOACTECTICTICICICTION sürüm 2 – Bulut ortamlarındaki modası geçmiş kimlik doğrulamanın tehlikelerini vurgulayan eski bir giriş yöntemi olan kaynak sahibi şifre kimlik bilgisi (BAV2ROPC) kullanıldı.
Guardz’ın raporuna göre bu kampanya, hackread.com ile paylaşıldı, finansal hizmetler, sağlık, üretim ve teknoloji hizmetleri de dahil olmak üzere çeşitli sektörleri hedef aldı.
Bu olay, Nisan 2025’te Hackread.com tarafından Refresh Jetonları ve MACE kimlik bilgisi iptal uygulaması ile bir dahili Microsoft hatasının neden olduğu yaygın Microsoft Entra ID hesap kilitlerini takip ediyor. Hackread’in raporu, dahili bir sorun nedeniyle kasıtsız lokavtları detaylandırırken, Guardz Discovery, kötü amaçlı aktörler tarafından entra kimlik güvenlik açıklarının kasıtlı olarak sömürülmesini vurgulamaktadır.
Kampanya analizi
Guardz Araştırma Birimi (GRU), tehdit aktörlerinin, daha eski uygulamaların basit kullanıcı adları ve şifreler kullanarak kimlik doğrulamasına izin veren bir uyumluluk özelliği olan BAV2ROPC’yi aktif olarak kullandığını keşfetti.
MFA ve diğer güvenlik kontrollerini zorunlu kılan çağdaş interaktif giriş işlemlerinin aksine, BAV2ROPC etkileşimli olmayan bir şekilde çalışır. Bu kritik fark, saldırganların MFA’yı, koşullu erişim politikalarını ve hatta giriş uyarıları ve kullanıcı varlığı doğrulamasını tamamen atlatmalarını sağlar ve bu modern korumaları etkili bir şekilde işe yaramaz hale getirir.
Saldırı Zaman Çizelgesi
Saldırı, 18-20 Mart arasında bir “başlatma” aşamasıyla başlayan ve daha düşük bir prob yoğunluğu ile karakterize edilen ve günlük 2.709 şüpheli giriş denemesinin ortalaması ile karakterize edilen iki ayrı aşamada meydana geldi.
Bunu, 21 Mart’tan 3 Nisan’a kadar, aktivitede dramatik bir artışa sahip olan ve günde 6.444’ün üzerinde denemeye (% 138’lik bir artış) bir “sürekli saldırı” aşaması izledi. Bu yükselme, belirlenen güvenlik açıklarının agresif sömürülmesine doğru açık bir kayma olduğunu gösterdi.
Guardz Research, öncelikle Doğu Avrupa ve Asya-Pasifik bölgesinden olmak üzere 9.000’den fazla şüpheli değişim giriş girişimini izledi. Kampanya, açıkta kalan eski uç noktalara odaklanan otomatik kimlik bilgisi püskürtme ve kaba kuvvet taktiklerini içeriyordu.
Saldırılar,% 90’ın üzerinde Exchange Online’ı hedefleyen çeşitli eski kimlik doğrulama vektörlerini ve yönetici hesaplarına önemli bir odaklanma da dahil olmak üzere Microsoft kimlik doğrulama kitaplığını hedefledi.
“Yönetici hesapları belirli bir odak noktasıydı. Bir alt küme, 8 saat içinde 432 IP’den yaklaşık 10.000 deneme aldı.“ Blog yazılarında Guardz’ın Elli Shlomo’yu yazdı.
Kampanya azalırken Guardz, uyumluluk için BAV2ROPC, SMTP Auth, POP3 ve IMAP4 gibi protokollere dayanan birçok kuruluşta güvenlik açığının devam ettiği konusunda uyarıyor. Bu yöntemler MFA’yı atlıyor, koşullu erişimi görmezden gelir ve sessiz, etkileşimli olmayan girişler etkinleştirir, böylece “gizli bir arka kapı” oluşturur.
Guardz CEO’su ve kurucu ortağı Dor Eisner, bu sorunun eleştirel doğasını vurguladı, “Bu kampanya sadece bir güvenlik açığı değil, bugünün tehdit manzarasına hizmet etmeyen eski teknolojileri emekliye ayırma ihtiyacı hakkında.”
Riskleri azaltmak için Guardz, kuruluşları miras kimlik doğrulamasını derhal denetlemeye ve devre dışı bırakmaya, MFA ile modern kimlik doğrulamasını uygulamaya, desteklenmeyen akışları engellemek için koşullu erişim politikalarını uygulamaya ve olağandışı giriş etkinliği için yakından izlemeye çağırıyor.