Yeni araştırmalar, Microsoft’un Entra Kimliğindeki bilinen bir güvenlik zayıflığından devam eden riski ortaya çıkardı ve potansiyel olarak kötü niyetli aktörlerin Hizmet Olarak Hizmet Olarak Yazılım (SaaS) uygulamalarında hesap devralmaları elde etmelerini sağladı.
Kimlik güvenlik şirketi Semperis, 104 SaaS uygulamasının bir analizinde, dokuzunun Entra ID çapraz kiracı Noauth istismarına karşı savunmasız olduğunu buldu.
İlk olarak Descope tarafından Haziran 2023’te açıklanan Noauth, SaaS uygulamalarının bir kullanıcının kimliğini doğrulamak için OAuth’un üzerine inşa edilmiş bir kimlik doğrulama katmanını ifade eden OpenID Connect’i (OIDC) nasıl uyguladığı konusunda bir zayıflık anlamına gelir.
Kimlik doğrulama uygulaması kusuru, kötü bir aktörün Entra ID hesabındaki posta özelliğini bir kurbanınkine değiştirmesine ve uygulamanın bu hesabı kaçırmak için “Microsoft ile Giriş” özelliğinden yararlanmasına izin verir.
Saldırı önemsizdir, ancak Entra ID’nin kullanıcıların doğrulanmamış bir e -posta adresine sahip olmasına izin verdiği ve kiracı sınırları arasında kullanıcının kimliğine bürünmesine kapıyı açtığı için de işe yarar.
Ayrıca, birden fazla kimlik sağlayıcısı (örneğin Google, Facebook veya Microsoft) kullanan bir uygulamanın, bir saldırganın bir hedef kullanıcının hesabında oturum açmasına izin verebileceği gerçeğinden yararlanır, çünkü e -posta adresi kullanıcıları benzersiz bir şekilde tanımlamak ve hesapları birleştirmek için tek kriter olarak kullanılır.
Semperis’in tehdit modeli, özellikle Entra ID arası kiracılar arası erişim sağlayan uygulamalar bulmak için Noauth bir varyantına odaklanır. Başka bir deyişle, hem saldırgan hem de kurban iki farklı Entra ID kiracısında.
Semperis baş kimlik mimarı Eric Woodruff, “Noauth istismarı birçok kuruluşun maruz kalabileceği ciddi bir tehdittir.” Dedi. “Düşük çaba, neredeyse hiç iz bırakmıyor ve son kullanıcı korumalarını atlıyor.”
“Noauth’u başarılı bir şekilde kötüye kullanan bir saldırgan sadece SaaS uygulama verilerine erişebilmekle kalmaz, aynı zamanda potansiyel olarak Microsoft 365 kaynaklarına dönüşebilir.”
Semperis, bulguları Aralık 2024’te Microsoft’a bildirdiğini ve Windows Maker’ın 2023’te NOAUTH’ın kamuoyunun açıklanmasına denk geldiği önerileri tekrarlamasını istediğini söyledi. Ayrıca, yönergelere uymayan satıcıların uygulamalarının Entra Uygulama Galerisi’nden kaldırılması riskini belirtti.
Microsoft ayrıca, OpenID Connect’te bir son kullanıcıyı benzersiz bir şekilde tanımlamak için konu tanımlayıcısı dışındaki taleplerin (“alt” talep olarak adlandırılır) kullanımının uyumlu olmadığını vurgulamıştır.
Şirket, “OpenID Connect Party, OpenID Connect’te birincil hesap tanımlayıcısı olarak alt (konu) talebinin ve ISS (ihraççı) talebinin bir kombinasyonunun yanı sıra, federasyonlu kimlik sağlayıcısı ve güvenen taraf arasındaki beklentilerin sözleşmesini kırıyorlarsa,” Bir jetonda başka iddiaları kullanıyorsa, “diye belirtti.
Noauth’u hafifletmek sonuçta benzersiz, değişmez bir kullanıcı tanımlayıcısı oluşturarak hesap devralmalarını önlemek için kimlik doğrulamasını uygun şekilde uygulaması gereken geliştiricilerin eline dayanır.
Şirket, “Noauth istismarı, kiracılar arası güvenlik açıklarından yararlanıyor ve SaaS uygulama verilerinin pessfiltrasyonuna, kalıcılığına ve yanal harekete yol açabilir.” Dedi. “Kötüye kullanım, savunmasız uygulamaların müşterilerinin tespit etmesi zor ve savunmasız uygulamaların müşterilerinin savunması imkansız.”
Açıklama, Trend Micro’nun Kubernetes ortamlarındaki yanlış yapılandırılmış veya aşırı ayrıcalıklı kapların hassas Amazon Web Hizmetlerine (AWS) kimlik bilgilerine erişimi kolaylaştırmak için kullanılabileceğini ve saldırganların takip faaliyetlerini gerçekleştirmesini sağlayabileceğinden kaynaklanıyor.
Siber güvenlik şirketi, saldırganların, yetkilendirilmemiş HTTP trafiğinin paket koklaması gibi yöntemler kullanarak, düz metin kimlik bilgilerine ve API taklitlerine erişmek için, yetkilendirilmemiş ağ arayüz kartı (NIC) ayarlarını kullanan aşırı ayrıcalıklardan yararlanabileceğini söyledi.
“Bulgular […] Güvenlik araştırmacısı Jiri Gogela, Kubernetes ortamlarında AWS kaynak erişimini basitleştirmek için Amazon EKS Pod Kimliğini kullanırken kritik güvenlik hususlarını vurgulayın.
“Bu güvenlik açıkları, en az ayrıcalık ilkesine bağlı kalmanın, konteyner konfigürasyonlarının uygun şekilde kapsamlanmasını ve kötü niyetli aktörler tarafından sömürü fırsatlarını en aza indirmenin öneminin altını çizmektedir.”