Microsoft’un Açık Yönlendirme güvenlik açığını sonlandırarak istismar ederek yeni ve karmaşık bir kampanyaya girişiyoruz
Yazan: Elad Damari, Olay Müdahale Grup Müdürü, Perception Point
QR kodları hemen hemen her yerde bulunabilir ve insanların akıllı telefon kameralarını açtıkları hızda yararlı bilgilere ve diğer web sayfalarına erişmelerine yardımcı olur.
Birçoğumuz bunları taramadan önce iki kez düşünmüyoruz. Ancak siber suçlular için bunların yaygınlığı yeni bir fırsat sunuyor; Kötü amaçlı yazılım yüklenirken veya hassas bilgiler çalınırken gardımızı düşürmemize neden olacak şekilde tasarlanmış karmaşık bir kimlik avı türünü dağıtma şansı. Sonuçta hiç kimse sadece bakarak bir QR kodunun güvenli olduğunu doğrulayamaz.
Olarak dublajlı susturma, E-postaya bağlı kimlik avının bu alt sınıfı geçtiğimiz yıl yükselişe geçti. Sadece bir ay içinde (ağustos ayından eylül ayına kadar) bastırma saldırılarının sayısı %427 oranında arttı.
Ancak bu endişe verici artış sorunun yalnızca yarısıdır; saldırıları gerçekleştirmek için kullanılan yaklaşımlar son derece karmaşık hale geliyor, e-posta güvenlik çözümlerini atlatmak için gelişmiş teknikler içeriyor ve şüphelenmeyen kurbanları kandırmak için giderek daha akıllı sosyal mühendislik taktikleri kullanılıyor.
Böyle bir istismar Perception Point’in analist ekibi tarafından tespit edildi. Microsoft’un hizmet paketlerinden birinde açık yönlendirme güvenlik açığından yararlanan ve potansiyel olarak müşteri verilerini tehlikeye atan bir kimlik avı kampanyasını ortaya çıkardılar.
Giriş noktası
Açık yönlendirme güvenlik açıkları, bir web uygulaması veya sunucusu, saldırganların kullanıcıyı güvenilir bir etki alanı aracılığıyla harici, güvenilmeyen bir URL’ye yönlendirmesine olanak tanıyacak şekilde yapılandırıldığında ortaya çıkar.
Ekibin son keşfinde, saldırganlar, uygulama geliştiricilere yönelik bir Microsoft bulut bilgi işlem platformu olan Azure Functions’taki bu tür güvenlik açıklarından, URL sorgularındaki doğrulanmamış veya uygun şekilde temizlenmemiş parametreler kullanarak yararlandı. Bu gözetim, kötü niyetli aktörlerin Microsoft’a ait gibi görünen URL’ler oluşturmasına, bunun yerine kullanıcıları sahte QR kodları aracılığıyla sahte oturum açma sitelerine yönlendirmesine olanak tanıdı.
Saldırı Dağılımı
Bu saldırı nasıl işe yaradı?
Her şey bir kullanıcının Microsoft Desteği gibi görünen bir yerden acil olarak yazılmış bir e-posta almasıyla başladı. Görünüşte meşru bir alan adı kullanan e-posta, gönderen politikası çerçevesi (SPF) kontrollerini (etki alanı sahiplerinin e-posta sunucularını doğrulamak için kullandıkları e-posta kimlik doğrulama standardı) kontrollerini kolayca geçti; bu da tehdit aktörlerinin sahte gönderen bilgilerini tespit edilmeden iletmesini zorlaştırıyor.
E-posta, konu satırını içeren bir PDF eki içeriyordu: “Lütfen kimlik bilgilerinizi düzeltin.” PDF, kullanıcılardan gömülü bağlantıya tıklayarak hesap şifrelerini ve e-posta kimlik bilgilerini güncellemelerini istedi. Bu, kullanıcıları, popüler resim barındırma sitesi Flickr’daki meşru bir sunucuda barındırılan, üzerinde Microsoft logosu bulunan kötü amaçlı bir QR koduna yönlendirdi.
Tanıdık logodan emin olan kullanıcılardan kodu telefon kameralarıyla taramaları istendi. Tanıdık, köklü logoları kötü niyetli QR kodlarıyla eşleştirmek, insanları daha güvenli bilgisayarların aksine daha az güvenli mobil cihazlarını kullanmaya teşvik eden psikolojik bir taktiktir. Ayrıca, kullanıcılar telefonlarını kullanırken URL’leri incelemeye ve genel güvenlik önerilerine uymaya daha az eğilimli oluyorlar.
QR kodunun taranması bir dizi URL’ye yol açtı, Azure İşlevleri’ndeki açık yeniden yönlendirme güvenlik açığından yararlanıldı ve sahte bir Microsoft 365 oturum açma sayfasıyla sonuçlanan ikna edici bir yeniden yönlendirme zinciri oluşturuldu.
Sahte giriş sayfasına e-posta adreslerini girdikten sonra kullanıcılar yeniden yönlendirildi; bu sefer yasal login.live.com adresine – Microsoft’un gerçek giriş sayfasına. Tehdit aktörü daha sonra yeniden yönlendirme işlemi sırasında kullanıcının cihazına bir oturum çerezi yerleştirerek kurbanların kimlik bilgilerinin görünür olmasını ve dolayısıyla hesaplarına kolayca erişilmesini sağlar.
Olay müdahale ekibi bulgularını Microsoft’un güvenlik ekibiyle paylaştıktan hemen sonra Microsoft, sorunu hızla hafifletti.
Kimlik avına son verildi
Microsoft’un açık yönlendirme güvenlik açıklarından yararlanan bu karmaşık yok etme kampanyası, kimlik avı saldırılarının sürekli gelişen ve giderek daha karmaşık hale gelen doğasının bir kanıtıdır.
Kuruluşların uyanık kalması, güvenlik protokollerini düzenli olarak güncellemesi ve siber suçluların en yeni siber güvenlik çerçevelerini atlatması ve istismar ettiği yeni ortaya çıkan yöntemleri daha iyi tanımak için ekipleri eğitmesi gerekiyor.
Eski atasözünü açıklamak gerekirse, her zaman vardır daha büyük Phry’ye kimlik avı.
yazar hakkında
Elad Damari, Perception Point’te Siber Uzman ve Olay Müdahale Ekibi Lideridir. Orada, küresel çapta işletmelere yönelik siber risklerin belirlenmesi ve azaltılması konusunda ekibe liderlik ediyor. Elad’a çevrimiçi olarak LinkedIn’i (https://www.linkedin.com/in/elad-damari) ve şirketimizin web sitesi https://perception-point.io üzerinden ulaşılabilir.