Microsoft’un Windows Hello for Business (WHfB) kimlik doğrulama sisteminde yakın zamanda keşfedilen bir güvenlik açığı, saldırganların sözde kimlik avına dayanıklı oturum açma yöntemini atlatmasına olanak tanıdı ve bu, yaygın olarak kullanılan bu parolasız çözümün güvenliği konusunda endişelere yol açtı.
Bu açık, saldırganların sistemin güçlü kimlik doğrulama mekanizmalarını aşmalarına olanak tanıyarak, hassas verileri korumak için bu teknolojiye güvenen kuruluşlar için ciddi bir risk oluşturuyor.
Güvenlik araştırmacısı Yehuda Smirnov, kötü niyetli kişilerin kimlik doğrulama sürecini daha güvenli olan Windows Hello biyometrik veya PIN tabanlı oturum açma yöntemlerinden daha az güvenli, kimlik avına yönelik yöntemlere düşürmesine olanak tanıyan bir tasarım hatasını ortaya çıkardı.
Windows Hello for Business, geleneksel parolalar yerine biyometrik veriler veya PIN kullanarak güvenliği artırmak için tasarlanmıştır. Parola tabanlı sistemlerden doğası gereği daha güvenli olan anahtar tabanlı veya sertifika tabanlı kimlik doğrulamayı kullanır çünkü parola hırsızlığı veya kimlik avı saldırıları riskini ortadan kaldırır.
Ancak siber güvenlik araştırmacılarının son keşfi, bu güvenli kimlik doğrulama sürecini daha az güvenli, kimlik avına yönelik bir yönteme düşürmenin bir yolunu ortaya çıkardı.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Microsoft’un Windows Hello for Business’taki açığı
Saldırı, kimlik doğrulama isteklerini engellemeyi ve değiştirmeyi içerir. Saldırganlar, Microsoft çevrimiçi oturum açma hizmetine yapılan POST isteğindeki belirli parametreleri değiştirerek, sistemin geleneksel parola tabanlı kimlik doğrulama yöntemine geri dönmesini zorlayabilir.
Bu, değiştirilerek elde edilir isFidoSupported parametreye false veya Kullanıcı Aracısı başlığını desteklenmeyen bir değere değiştirerek, böylece Windows Hello for Business’ın amaçlanan güvenli kimlik doğrulama mekanizmasını atlatmak.
Smirnov, EvilGinx kimlik avı çerçevesinin değiştirilmiş bir sürümünü kullanarak istismarı gösterdi ve bir saldırganın Windows Hello kimlik doğrulamasını atlama sürecini nasıl otomatikleştirebileceğini gösterdi. Kavram kanıtı, güvenli kimlik doğrulamanın birincil yolu olarak WHfB’ye güvenen kuruluşlar için olası riskleri vurguladı
Teknik detaylar
Saldırı süreci yetenekli saldırganlar için nispeten basittir. Aşağıdaki adımları içerir:
- Kimlik Doğrulama İsteğinin Engellenmesi: Burp Suite gibi araçları kullanarak saldırganlar, kendilerine gönderilen POST isteğini engelleyebilir.
https://login.microsoftonline.com/common/GetCredentialType. - İstek Parametrelerini Değiştirme: Yakalanan istek daha sonra şu şekilde değiştirilir:
isFidoSupportedparametreyefalseveya Kullanıcı Aracısı başlığını desteklenmeyen bir değere değiştirin. - Kimlik Doğrulamanın Geriye Döndürülmesi: Bu değişiklikler, sistemin kimlik doğrulama yöntemini Windows Hello for Business’tan daha az güvenli bir yönteme, örneğin basit bir parolaya veya kimlik avına yönelik olmayan bir yönteme düşürmesini sağlar.
Bu güvenlik açığı, sistemin kimlik avına karşı dirençli yöntemleri uygulama konusunda sürekli başarısız olduğu kimlik doğrulama sürecindeki kritik bir gözetim eksikliğini ortaya koyuyor.
Windows Hello for Business kimlik doğrulamasını atlama yeteneği, özellikle hassas bilgilere ve kritik sistemlere erişimi güvence altına almak için bu sisteme güvenen kuruluşlar için önemli riskler oluşturur. Bu kusur, saldırganların kurumsal ağlara yetkisiz erişim elde etmesine, verileri sızdırmasına ve başarılı bir şekilde istismar edilirse daha fazla kötü amaçlı etkinlik gerçekleştirmesine olanak tanıyabilir.
Azaltma Stratejileri
Bu güvenlik açığını azaltmak için Microsoft birkaç önlem öneriyor:
- Koşullu Erişim Politikalarını Uygula: Kuruluşlar, kimlik avına dayanıklı kimlik doğrulama yöntemlerinin kullanımını zorunlu kılan koşullu erişim politikaları oluşturmalıdır. Bu, Microsoft Entra ID’de yeni eklenen “kimlik doğrulama gücü” özelliğinden yararlanılarak gerçekleştirilebilir.
- Güçlü, Kimlik Avına Karşı Dayanıklı Kimlik Doğrulamayı Etkinleştirin:Tüm bulut uygulamalarının güçlü, kimlik avına dayanıklı çok faktörlü kimlik doğrulama (MFA) yöntemlerini gerektirdiğinden emin olun.
- Kimlik Doğrulama İsteklerini Denetle ve İzle: Herhangi bir anormalliği veya kimlik doğrulama yöntemlerini düşürme girişimlerini tespit etmek için kimlik doğrulama isteklerini düzenli olarak denetleyin ve izleyin.
Windows Hello for Business’ta bu güvenlik açığının keşfi, kimlik doğrulama sistemlerinin güvenliğini sağlamada devam eden zorlukların altını çiziyor. Windows Hello for Business, geleneksel parola tabanlı sistemlere kıyasla önemli güvenlik avantajları sunarken, bu kusur sürekli güvenlik değerlendirmelerinin önemini ve gelişen tehditlere karşı koruma sağlamak için sağlam azaltma stratejilerine olan ihtiyacı gösteriyor.
Windows Hello for Business kullanan kuruluşlar, sistemlerini ve verilerini olası istismarlardan korumak için önerilen azaltma önlemlerini derhal uygulamalıdır.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo