TLDR
Bu parçadan başka hiçbir şey çıkarmasanız bile kuruluşunuz şifre anahtarı dağıtımlarını değerlendiriyorsa senkronize edilmiş şifre anahtarlarını dağıtmak güvenli değildir.
- Senkronize geçiş anahtarları, bulut hesaplarının ve onları koruyan kurtarma süreçlerinin riskini devralır ve bu da kurumsal açıdan önemli risklere neden olur.
- Ortadaki düşman (AiTM) kitleri, güçlü kimlik doğrulamayı hep birlikte atlatan kimlik doğrulama geri dönüşlerini zorlayabilir
- Kötü amaçlı veya güvenliği ihlal edilmiş tarayıcı uzantıları, WebAuthn isteklerini ele geçirebilir, parola kaydını veya oturum açmayı değiştirebilir ve otomatik doldurmayı kimlik bilgilerinin ve tek seferlik kodların sızmasına neden olabilir.
- Donanım güvenlik anahtarlarındaki cihaza bağlı geçiş anahtarları, senkronize edilmiş geçiş anahtarlarından daha yüksek güvence ve daha iyi yönetim kontrolü sunar ve kurumsal erişim kullanım durumları için zorunlu olmalıdır
Senkronize Geçiş Anahtarı Riskleri
Senkronize geçiş anahtarı güvenlik açıkları
Geçiş anahtarları, kimlik doğrulayıcıda saklanan kimlik bilgileridir. Bazıları cihaza bağlıdır, diğerleri ise iCloud ve Google Cloud gibi tüketici bulut hizmetleri aracılığıyla cihazlar arasında senkronize edilir. Senkronizasyon, düşük güvenlikli, tüketiciye yönelik senaryolarda kullanılabilirliği ve kurtarmayı iyileştirir, ancak güven sınırını bulut hesaplarına ve kurtarma iş akışlarına kaydırır. FIDO Alliance ve Yubico, işletmelerin bu bölünmeyi değerlendirmeleri ve daha yüksek güvence için cihaza bağlı seçenekleri tercih etmeleri için önemli tavsiyeler yayınladı.
Operasyonel olarak senkronize geçiş anahtarları saldırı yüzeyini üç şekilde genişletir:
- Bulut hesabının ele geçirilmesi veya kurtarmanın kötüye kullanılması, yeni cihazlara yetki verebilir ve bu da kimlik bilgilerinin bütünlüğünü aşındırabilir.
- Bir kullanıcı kurumsal cihazında kişisel Apple iCloud hesabıyla oturum açarsa oluşturulan geçiş anahtarları kişisel hesaplarıyla senkronize edilebilir; bu, kurumsal güvenlik sınırlarının ötesindeki saldırı yüzeyini önemli ölçüde patlatır.
- Yardım masası ve hesap kurtarma, aynı korumalı anahtar zincirini yeni, bilinmeyen ve güvenilmeyen bir cihaza kopyalayabildiğinden, saldırganların hedef aldığı gerçek kontrol noktaları haline gelir.
Kimlik doğrulama sürümünü düşürme saldırıları
 |
| “Yakalanan” oturuma bakın. (Resim kaynağı: Kanıt noktası) |
Proofpoint araştırmacıları, Microsoft Entra ID’ye karşı, kimlik avı proxy’sinin Windows’ta Safari gibi desteklenmeyen bir tarayıcıyı taklit ettiği, Entra’nın geçiş anahtarlarını devre dışı bıraktığı ve kullanıcının SMS veya OTP gibi daha zayıf bir yöntem seçmeye yönlendirildiği pratik bir sürüm düşürmeyi belgeledi. Proxy daha sonra kimlik bilgilerini ve sonuçta ortaya çıkan oturum çerezini yakalar ve erişim kazanmak için bunları içe aktarır.
Bu tehdit vektörü, webAuthnpasskey’in düzensiz işletim sistemi ve tarayıcı desteğine ve kimlik sağlayıcının (IdP) pratik bir UX değerlendirmesi lehine zayıf kimlik doğrulama yöntemlerini kabul etmesine bağlıdır. Politika yönlendirmeyle desteklenen klasik bir ortadaki rakiptir (AitM). Bir uyumluluk dalı onu devre dışı bıraktığında platform hiçbir zaman WebAuthn törenine ulaşamadığından WebAuthn kaynak bağlamasını bozmaz. En zayıf kimlik doğrulama yönteminiz gerçek güvenliğinizi tanımlar.
WebAuthn’da anında arabuluculuk, WebAuthn kullanılamadığında sitelerin alternatif bir kimlik doğrulama yöntemi sunmasına olanak tanıyan bir özelliktir. Bu, UX için kullanışlıdır ancak politikanın izin vermesi halinde, saldırganlar tarafından kullanıcıları webAuthn olmayan yollara yönlendirmek için de kötüye kullanılabilir.
Tarayıcı tabanlı güvenlik, uzantı ve otomatik doldurma tehdit vektörlerine karşı savunmasızdır
SquareX araştırmacıları, güvenliği ihlal edilmiş bir tarayıcı ortamının WebAuthn çağrılarını ele geçirebileceğini ve geçiş anahtarı kaydını veya oturum açmayı değiştirebileceğini gösterdi. Bu teknik, geçiş anahtarı şifrelemesini bozmaz. Kaydı yeniden başlatmak, parola geri dönüşünü zorlamak veya bir onaylama işlemini sessizce tamamlamak için, örneğin kötü amaçlı bir uzantı veya bir XSS hatası aracılığıyla tarayıcı tarafındaki işlemi enjekte eder veya engeller.
Chrome, eklendikten sonra navigator.credentials.create() ve navigator.credentials.get() yöntemlerini engelleyebilen ve ardından kendi yanıtlarını sağlayabilen “webAuthenticationProxy” adlı bir uzantı API’sini belgelemektedir. Bu özellik uzak masaüstü kullanım durumları için mevcuttur, ancak doğru izne sahip bir uzantının WebAuthn yolunda bulunabileceğini gösterir.
Uzantılar ayrıca sayfa bağlamı içinde içerik komut dosyalarını çalıştırır; burada DOM’yi okuyabilir ve değiştirebilirler ve sayfadan kimlik bilgisi API’lerinin çağrılması da dahil olmak üzere kullanıcı arayüzü akışlarını yönlendirebilirler.
DEF CON’da sunulan bağımsız araştırma, şifre yöneticisi uzantıları tarafından enjekte edilen kullanıcı arayüzü öğelerini hedef alan DOM tabanlı uzantı tıklama korsanlığını tanımladı. Hazırlanmış bir sayfaya yapılan tek bir kullanıcı tıklaması, oturum açma bilgileri, kredi kartları ve tek kullanımlık kodlar gibi depolanan verilerin otomatik olarak doldurulmasını ve dışarı çıkarılmasını tetikleyebilir. Araştırmacı, bazı senaryolarda şifre kimlik doğrulamasının da kötüye kullanılabileceğini ve birden fazla satıcıdaki güvenlik açığı bulunan sürümleri listelediğini bildiriyor.
Cihaza bağlı kimlik bilgileri tek etkili kurumsal çözümdür
Cihaza bağlı geçiş anahtarları, genellikle özel anahtar oluşturma ve kullanımı güvenli donanım bileşenlerinde gerçekleştirilen belirli bir cihaza bağlanır. Kuruluşlarda donanım güvenlik anahtarları tutarlı cihaz sinyalleri, doğrulama ve envanterini çıkarabileceğiniz ve iptal edebileceğiniz bir yaşam döngüsü sağlar.
Kurumsal düzeyde geçiş anahtarı programı için rehberlik
Politika
- Tüm kullanıcılar ve özellikle ayrıcalıklı rollerdeki kullanıcılar için kimlik avına karşı korumalı kimlik doğrulamasını zorunlu kılın. Yalnızca kayıt sırasında dışa aktarılamayan kimlik bilgileri oluşturan cihaza bağlı kimlik doğrulayıcıları kabul edin ve cihazı asla terk etmeyin. Kimlik bilgileri güvenli donanıma dayanmalı ve oturum açmayı deneyen fiziksel cihaza doğrulanabilir şekilde bağlanmalıdır.
- SMS, sesli aramalar, TOTP uygulamaları, e-posta bağlantıları ve anlık onaylar gibi tüm geri dönüş yöntemlerini ortadan kaldırın. Bunlar sosyal mühendislik ve sürüm düşürme saldırıları sırasında istismar edilmek için mevcuttur. Bir geri dönüş varsa, saldırgan bunu zorlayacaktır. Güçlü yolu tek yol yap.
- Kimlik avına karşı dayanıklı, cihaza bağlı kimlik bilgileri için evrensel işletim sistemi ve tarayıcı desteği sağlayın. Alternatif sunmayın – evet bu mümkün, size Beyond Identity’nin kimlik savunma platformunun bir demosunu göstermekten mutluluk duyuyoruz. Tam savunma için evrensel kapsam gereklidir çünkü yalnızca en zayıf halkanız kadar korunursunuz.
Tarayıcı ve Uzantı Duruşu
- Yönetilen tarayıcılarda uzantı izin verilenler listelerini zorunlu kılın. webAuthenticationProxy, activeTab veya geniş içerik komut dosyası izinleri isteyen hiçbir uzantıya izin vermeyin.
- Şüpheli toplu kaldırma işlemleri veya açıklanamayan izin yükseltme işlemleri için uzantı yüklemelerini ve kullanım eğilimlerini sürekli olarak izleyin. Uzantı düzeyindeki uzlaşma giderek meşru bir kullanıcıdan ayırt edilemez hale geliyor. Tarayıcı davranışını bir uç nokta kadar sıkı bir şekilde kilitleyin.
Kayıt ve Kurtarma
- Kurtarmanın kökü olarak yüksek güvenceli kimlik doğrulayıcıları kullanın. Hiçbir yardım masası, e-posta gelen kutusu veya çağrı merkezi, kimlik avına karşı dirençli kontrolleri aşamaz. Kurtarma genellikle saldırganın giriş noktasıdır. Sosyal mühendislik vektörlerini ortadan kaldırın ve politikaya uygun yeniden doğrulamayı zorunlu kılın.
- Yalnızca cihaza bağlı kimlik bilgilerinin kaydına izin verin.
- Cihaz modeli ve güvence düzeyi de dahil olmak üzere kayıt sırasında doğrulama meta verilerini yakalayın. Tanınmayan veya doğrulanamayan kimlik doğrulayıcıları reddedin. Güven kayıt sırasında başlar. Kimlik bilgisini neyin oluşturduğunu bilmiyorsanız erişimi kontrol edemezsiniz.
Cihaz Hijyeni ve Çalışma Zamanı Savunması
- Oturumları güvenilir cihaz bağlamına bağlayın. Bir oturum çerezi hiçbir zaman taşınabilir bir yapı olmamalıdır. Çalışma zamanı oturumunun uygulanması, kimliği yalnızca ilk kimlik doğrulamaya değil, sürekli cihaz duruşuna bağlamalıdır.
- Sürekli kimlik doğrulamayı zorunlu kılın. Cihazın duruşu, konumu veya güvenlik durumu değişirse yeniden kimlik doğrulama gerektirin veya erişimi reddedin. Oturum açma, koridor geçişi değildir. Risk dinamiktir, kimlik doğrulama da öyle olmalıdır.
- Zayıf faktörlere sahip kimlik doğrulama girişimlerinin varsayılan olarak engellenmesi gerektiğini varsayalım. Beyond Identity müşterilerinin nasıl olduğunu görün Erişim girişiminde bulunan güçlü bir kimlik bilgisi olmadığı basit gerçeğine dayanarak kimlik saldırılarını anında engeller.
Pratikte Bu Nasıl Görünüyor?
Kimlik, tarayıcı ve cihaz tabanlı saldırılara karşı tavizsiz savunma sunan bir kimlik güvenlik sisteminin mimarisi şu üç özellik ile tanımlanabilir:
- Cihaza bağlı kimlik bilgileri: Kimlik bilgileri hiçbir zaman cihazdan ayrılmaz. Dışa aktarılamazlar, donanım desteklidirler ve senkronize edilemezler veya başka bir yerde yeniden oynatılamazlar.
- Sürekli güven: Kimlik doğrulama, oturum açma sırasında asla durmaz. Cihazdan gelen duruş sinyallerine bağlı olarak seans boyunca devam eder.
- Evrensel uç nokta hijyen uygulaması: Tüm uç noktalar kapsam dahilindedir. Yönetilmeyen cihazların bile risk durumu ve oturum bütünlüğü açısından gerçek zamanlı olarak değerlendirilmesi gerekir.
Sonuç olarak
Senkronize geçiş anahtarları savunmaya uygun bir güç alanı değildir. Kurumsal erişim güvenliği pahasına tüketici kullanım senaryolarının kullanılabilirliğini artırırlar.
Yaklaşan bir web seminerinde daha fazlasını uygulamalı olarak görün, Saldırganlar FIDO’yu Nasıl Atlıyor: Senkronize Edilmiş Geçiş Anahtarları Neden Başarısız Oluyor ve Bunun Yerine Ne Yapmalı? Beyond Identity, senkronize geçiş anahtarı hatalarının nasıl gerçekleştiğini ve Snowflake ve Cornell Üniversitesi dahil önde gelen güvenlik ekiplerinin bu yolları nasıl kapattığını inceleyecek.
Katılamasanız bile kayıt olun ve kaydı alın!