Saldırganların Microsoft Entra yenileme tokenlerini kobalt grev işaretini kullanarak uzlaşmış uç noktalardan almalarını, potansiyel olarak çok faktörlü kimlik doğrulama (MFA) korumalarını atlamalarını ve bulut kaynaklarına kalıcı erişimi sürdürmesini sağlayan yeni bir teknik.
9 Mayıs’ta yayınlanan teknik, geleneksel birincil yenileme jetonunun (PRT) ekstraksiyonunun, özellikle de birleştirilmemiş veya BYOD cihazlarında mümkün olmadığı senaryoları ele alıyor.
Yeni Teknik Azure Token hırsızlığı için saldırı yüzeyini genişletir
Teknik, Christopher Paschen tarafından geliştirilen TrustedSec’in “get_azure_token” adlı uzaktan işlem deposuna yakın zamanda eklenen bir Beacon nesne dosyası (BOF) kullanıyor.
.png
)
InfoSecnoodle, bu BOF’un, belirli bir istemci kimliği ve kapsamı için bir yetkilendirme kodu akışı başlatarak, ardından erişim ve yenileme jetonları istemek için yetkilendirme kodunu yakalayarak kullanıcının mevcut tarayıcı kimlik doğrulamasını Entra’ya kullandığını bildirir.
Orijinal yaklaşımın önemli bir sınırlaması, saldırganları bu yapılandırmayı destekleyen sadece bir avuç Microsoft uygulamasını kullanma ile sınırlayan Redirect_uri parametresi olarak “http: // localhost” a izin vermesi için belirtilen istemci kimliğinin gerektirmesidir.
Araştırmacı, Localhost yönlendirmesini de destekleyen gerekli müşteri kimlikleri (FOCI) yetenekleri ile yalnızca üç Microsoft uygulaması tespit etti: Microsoft Azure CLI, Microsoft Azure Powershell ve Visual Studio – Legacy.
Bu sınırlamanın üstesinden gelmek için araştırmacı, Microsoft’un yerel istemci yönlendirme URI’sini (https://login.microsoftonline.com/common/oauth2/nativeclient) kullanan geliştirilmiş bir teknik tasarladı ve Getwindowtexta api kullanarak tarayıcı penceresi başlığından yetkilendirme kodunu çıkardı.
Araştırmacı, “Oradan çıkardığımızda, yerel istemciyi yönlendirme URI’sini kullanmamıza izin verebilir, bize çok daha geniş bir focis yelpazesine erişim sağlar ve sadece ‘http: // localhost’a’ izin veren FOCI’ları kullanabilme kısıtlamasını kaldırarak,” diye yazdı araştırmacı.
Bu geliştirme, bu uygulamaların güvenlik uyarılarını tetikleme olasılığı daha düşük olduğundan, OPSEC açısından büyük bir fark yaratabilen ekipler, copilot ve Edge dahil olmak üzere popüler Microsoft uygulamalarıyla çalışmasını sağlayarak saldırı yüzeyini önemli ölçüde genişletir.
Kavram kanıtı: eylemdeki BOF
Teknik basit bir komut kullanılarak uygulanabilir:
Bu teknik özellikle söz konusudur, çünkü tüm kimlik doğrulama istekleri ve jeton istekleri tehlikeye atılan uç nokta IP adresinden kaynaklanır, bu da kötü niyetli olarak tespit edilmelerini zorlaştırır.
GraphSpy gibi servis sonrası araçlarla birleştirildiğinde, saldırganlar ilk erişim kaybolduktan sonra bile bulut kaynaklarına kalıcı erişimi koruyabilir.
Araştırmacı bunun öncelikle “kenar-durum senaryoları” için olduğunu ve PRT ekstraksiyonunun mümkün olduğunda kimlik kalıcılığı için daha güvenilir bir yöntem olmaya devam etse de, teknik saldırganlara geleneksel yöntemler başarısız olduğunda ek bir seçenek sunar.
Kuruluşların, özellikle hassas Microsoft uygulamaları ve grafik API erişimini içeren şüpheli kimlik doğrulama faaliyetleri için kapsamlı izleme uygulamaları tavsiye edilir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri