Gelen haberlere göre, SolarWinds saldırılarından sorumlu olan ve “Nobelium” olarak bilinen tehdit grubunun, Microsoft tarafından kullanıma sunulan yeni Kiracılar Arası Senkronizasyon (CTS) özelliği aracılığıyla Microsoft kiracılarını hedef aldığı ortaya çıktı.
CTS, kuruluşların diğer kaynak kiracılardan kullanıcıları ve grupları eşitlemesine olanak tanıyan ve onlara hedef kiracıya erişim izni verebilen bir özelliktir.
CTS özelliği, diğer kiracılar genelinde AD (Active Directory) kullanıcılarının oluşturulmasına, güncellenmesine ve silinmesine de yardımcı olur.
Ancak bu özellik, bir kiracıdan birden fazla kiracıya kapı açtığından, doğru şekilde yapılandırmak ve yönetmek önemlidir.
Yanlış yapılandırma, tehdit aktörlerinin bu özelliği birden fazla kiracı arasında yanal hareket için kullanmasına ve kötü amaçlı faaliyetler gerçekleştirmesine yol açabilir.
Bununla birlikte, tehdit aktörlerinden gelen saldırı, lisans ve ayrıcalıklı bir hesabın tehlikeye atılmasını veya gizliliği ihlal edilmiş bir kiracıda ayrıcalık yükseltmeyi gerektirir.
Bununla birlikte, bir Global yönetici hesabının güvenliği ihlal edilirse, bir saldırganın bir arka kapı konuşlandırması ve kiracılara kalıcı erişim sağlaması son derece kolaydır. CTS kiracıları “Pull” ile değil, “Push” ile senkronize edilir.
Yanal Hareket
Tehdit aktörü bir kiracının güvenliğini ihlal ettiğinde, diğer bağlantılı kiracılara yanal olarak geçmesi mümkündür. Bu, güvenliği ihlal edilmiş kiracı üzerinde yapılandırılan Kiracılar Arası Erişim İlkeleri incelenerek yapılabilir.
Tehdit aktörü, Giden eşitlemenin etkin olduğu bir kiracı bulduğunda, hedef kiracıyla eşitlenmek için bu kiracıyı kullanabilir.
Bundan sonra tehdit aktörü, CTS ana bilgisayar eşitleme uygulamasını keşfedebilir ve kullanıcı hesabını, hedef kiracıya erişim sağlayan o kiracıya göndermek için kullanabilir.
Arka kapı
Saldırgan daha sonra güvenliği ihlal edilmiş kiracıda kalıcı erişimi sürdürmek için hileli bir Çapraz Kiracı Erişim Yapılandırması dağıtabilir. Ayrıca saldırgan, Microsoft tarafından sağlanan belgeler yardımıyla bunu harici bir kiracıya da yapılandırabilir.
Bu saldırı vektörü hakkında ayrıntılı bilgileri gösteren yanal hareket ve arka kapı hakkında eksiksiz bir rapor Vectra tarafından yayınlandı.
Active Directory ve Kiracılar Arası Senkronizasyon özelliklerinin kullanıcılarına, tehdit aktörlerinin bunları istismar etmesini önlemek için bunları uygun şekilde yapılandırmaları önerilir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberleri hakkında bilgi sahibi olun. twitterve Facebook.