Microsoft, güvenliği ihlal edilmiş, terk edilmiş yanıt URL’sini Azure AD uygulamasından derhal kaldırarak yetkisiz erişim yolunu etkili bir şekilde kapattı.
Önemli bulgular
- Microsoft’un Power Platform API’sinde kritik bir güvenlik açığı bulundu.
- Güvenlik açığı, Azure Active Directory (AD) ortamında terk edilmiş bir yanıt URL’sini içeriyordu.
- Bu güvenlik açığı, tehdit aktörlerinin bir kuruluş içindeki yükseltilmiş izinlere ve kontrollere yetkisiz erişim elde etmesine olanak tanıyabilir.
- Microsoft, güvenlik açığı raporuna hızlı bir şekilde yanıt verdi ve güvenliği ihlal edilmiş, terkedilmiş yanıt URL’sini 24 saat içinde kaldırdı.
- Benzer saldırı senaryolarını önlemek için kuruluşların, Azure AD uygulamalarını terk edilmiş yanıt URL’lerine karşı izlemeleri önerilir.
Secureworks’ün siber güvenlik uzmanları, Microsoft’un artık Entra ID olarak bilinen Power Platformunda kritik bir güvenlik açığını ortaya çıkardı. Bu yılın başlarında keşfedilen güvenlik açığı, Azure Active Directory (AD) ortamında terk edilmiş bir yanıt URL’sini içeriyordu ve bir kuruluş içindeki yükseltilmiş izinlere ve kontrollere yetkisiz erişim sağlıyordu.
Terk edilen yanıt URL’si, popüler bir düşük kodlu platform olan Microsoft’un Power Platform’una bağlı bir Azure AD uygulamasıyla ilişkilendirildi. Bu güvenlik açığından yararlanılması, tehdit aktörlerinin yetkilendirme kodlarını kendilerine yönlendirmelerine ve böylece bu kodları erişim belirteçleriyle değiştirmelerine olanak tanıdı. Saldırganlar bunu yaparak, orta düzey bir hizmet aracılığıyla Power Platform API’sine giriş yapabilir ve yükseltilmiş ayrıcalıklara sahip olabilir; bu da potansiyel olarak yetkisiz erişime ve kötüye kullanıma yol açabilir.
Secureworks araştırmacıları, kullanıcılara ortamları yönetme, ortam ayarlarını yapma ve kapasite tüketimini analiz etme yeteneği sağlayan Power Platform API’nin önemini vurguladı. Bu API, sahip olduğu kapsamlı izinler nedeniyle ayrıcalıklı erişim elde etmeyi amaçlayan kötü niyetli aktörler için cazip bir hedef haline geliyor.
Secureworks, bir konsept kanıtı aracılığıyla bu güvenlik açığının Power Platform API’sinde ayrıcalıkların yükselmesine nasıl yol açabileceğini gösterdi. Araştırmacılar bu erişimden daha fazla yararlanmasa da Power Platform yönetici API’si bilgisine sahip saldırganların ek saldırı senaryoları geliştirme potansiyelini vurguladılar. Güvenlik açığı, Secureworks araştırmacılarının belirteçlerin manipülasyonu yoluyla Power Platform API’sinde yönetici ayrıcalıkları elde etmesine olanak tanıdı.
Güvenlik açığı raporuna yanıt olarak Microsoft, Secureworks’ün bildiriminden sonraki 24 saat içinde sorunu hızla giderdi. Teknoloji devi, güvenliği ihlal edilmiş terkedilmiş yanıt URL’sini Azure AD uygulamasından derhal kaldırarak yetkisiz erişim yolunu etkili bir şekilde kapattı.
Secureworks, benzer saldırı senaryolarını önlemek için kuruluşların Azure AD uygulamalarını terk edilmiş yanıt URL’leri açısından izlemesinin önemini vurguladı. Güvenlik açığı, çözülmüş olsa da, Azure AD ortamlarındaki uygulama URL’lerinin hatalı yönetimiyle ilişkili olası riskler konusunda uyarıda bulunur.
ALAKALI HABERLER
- Azure OMIGOD güvenlik açıklarından yararlanan Mirai botnet
- Microsoft Azure müşterisi 2,4 Tbps DDoS saldırısına uğradı
- Microsoft, veri hırsızlığına yol açan Azure güvenlik açığı konusunda uyardı
- Araştırmacılar Azure’un Cosmos DB müşterilerinin anahtarlarına erişti
- Microsoft Azure Blob hesabı sızıntısında açığa çıkan hassas kaynak kodları