Güvenlik araştırmacılarına göre Microsoft, yakın zamanda Microsoft 365 müşterilerine spam olarak işaretlenen ve hatta şirketin kendi güvenlik araçları tarafından engellenen veri ihlali bildirimleri gönderdi.
E-postalar işaretlendi ve Microsoft müşterileri arasında endişelere yol açtı; bunun birkaç nedeni vardı: Üst düzey hesap bilgileri istiyorlardı, Microsoft’a açıkça bağlı olmayan bir bağlantı içeriyorlardı ve ayrıca DMARC sahteciliğe karşı koruma protokollerini uygunsuz bir şekilde uyguluyor gibi görünüyorlardı.
Microsoft şeffaflığıyla takdiri hak ediyor ancak dünyanın en büyük yazılım şirketi aynı zamanda bazı temel e-posta kimlik doğrulama ve güvenlik uygulamalarını takip etmemenin tehlikelerini de ortaya koydu.
Microsoft E-postalarında SPF ve DKIM Kimlik Doğrulaması Yok
Sorun, güvenlik araştırmacısı Kevin Beaumont tarafından dile getirildi ve Beaumont’un konuyla ilgili LinkedIn paylaşımı 400’den fazla kez paylaşıldı.
“Exchange Online dahil olmak üzere e-posta kayıtlarınızı kontrol edin, bir e-posta olup olmadığını kontrol edin [email protected]Beaumont, “Microsoft, Rusya’da müşteri verilerini etkileyen bir ihlal yaşadı ve Microsoft 365 müşteri veri ihlali sürecini takip etmedi.
“Bildirimler portalda değil, bunun yerine kiracı yöneticilerine e-posta gönderdiler. E-postalar spam’e gidebilir ve kiracı yönetici hesaplarının e-posta olmadan güvenli breakglass hesapları olması gerekir. Ayrıca kuruluşları hesap yöneticileri aracılığıyla bilgilendirmediler. Haziran’a kadar giden tüm e-postaları kontrol etmek isteyebilirsiniz. Yaygındır.”
Yorum yapanlardan biri olan Thanos Vrachnos, “Müşterilerimin birçoğu bu e-postayı aldı. Hepsi bunun bir kimlik avı olduğundan endişeliydi, çünkü e-posta başlıklarına göre hiçbir SPF ve DKIM kullanılmamıştı ve e-posta mesajında belirtilen URL, başka bir güvenilir CA tarafından verilen basit bir DV SSL sertifikasına sahip basit (neredeyse sahte) bir Azure PowerApp’te barındırılıyordu ve herhangi bir kuruluş bilgisi yoktu (diğer tüm MS etki alanları, Microsoft tarafından kamuya açık güvenilir CA olarak verilen OV/EV sertifikalarına sahiptir)… Böyle bir sağlayıcının potansiyel olarak etkilenen müşterilere önemli bir sorunu iletmesinin tuhaf bir yolu.” şeklinde yanıt verdi.
Bu yılın başlarında Midnight Blizzard saldırısından gelen bildirim, Microsoft müşterileri tarafından şirket forumlarında da işaretlendi. Beaumont, Mastodon’da e-postaların kimlik avı girişimleri olarak işaretlendiği ve deneme alanlarına gönderildiği 500’den fazla kuruluş olduğunu belirtti.
DMARC’ı Doğru Yapmak
Microsoft’un kendi 365 dokümanları, “SPF, DKIM ve DMARC’ın e-posta mesajı gönderenleri doğrulamak için nasıl birlikte çalıştığı” konusunda bir giriş niteliğindedir. Microsoft’un kendi ifadesiyle:
- Gönderen İlke Çerçevesi (SPF), etki alanı için posta göndermeye yetkili kaynak e-posta sunucularını belirtir.
- Alan Adı Anahtarlarıyla Tanımlanmış Posta (DKIM), mesajın aktarım sırasında değiştirilmediğinden emin olmak için mesajın önemli öğelerini dijital olarak imzalamak için bir alan adı kullanır.
- Alan Adı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC), alan adındaki gönderenler için SPF veya DKIM kontrollerinde başarısız olan iletiler için eylemi belirtir ve DMARC sonuçlarının nereye gönderileceğini (raporlama) belirtir.
DMARC, SPF ve DKIM ile ilgili zorluk, yeterli korumayı sağlamak için düzgün bir şekilde uygulanmaları gerekliliğidir.
Geçtiğimiz hafta, e-posta güvenliği sağlayıcısı EasyDMARC, önde gelen üretim şirketlerinin %61’inin DMARC’ı uyguladığını ancak yalnızca %19’unun kimlik avı ve dolandırıcılığa karşı tam koruma sağlayan katı p=reject politikasını benimsediğini ortaya koyan bir çalışma yayınladı.
DMARC’ın doğru çalışması zaman alır. SPF, DKIM ve DMARC politikalarını uygular ve doğrularsınız; DMARC’ı izleme modunda dağıtırsınız (p=none); reddedilen meşru e-posta kaynaklarını belirlemek için raporları izlersiniz; ve daha sonra zamanla, sorunlar çözüldükçe, ‘p=karantina’ veya ‘p=reddet’ uygulamasını artırırsınız.
DMARC, siber saldırıların çoğunun başladığı nokta olan sahtecilik ve kimlik avıyla mücadele için büyük bir vaat sunuyor. Bunu doğru yapmak için zaman ayırmak, siber güvenlik savunmanızı büyük ölçüde iyileştirebilir ve kuruluşunuzun utanç verici kamu incelemesinden uzak kalmasını sağlayabilir.