Beacon Nesne Dosyaları’ndan (BOFS) yararlanan yeni bir istismar yöntemi ortaya çıktı ve saldırganların Microsoft Entra’yı (eski adıyla Azure AD) tehlikeye atılmayan uç noktalardan çıkarmalarını sağladı.
Bu teknik, geleneksel algılama mekanizmalarını ortadan kaldırır ve yüksek değerli hedeflere erişimi genişletir ve kurumsal bulut ortamları için önemli riskler oluşturmaktadır.
BYOD cihazlarında PRT ekstraksiyon sınırları
Saldırganlar genellikle entra kiracılarına erişimi sağlamak için birincil yenileme jetonlarını (PRT’ler) alan adına birleştirilmiş cihazlardan çıkarmaya güvenir.
.png
)
Ancak, Matthew Creel’in ayrıntılı olduğu gibi “Cihazla birleştirilmiş ana bilgisayarlar ve PRT kurabiyesi için operatör kılavuzu” PRT tabanlı yöntemler, alanlara bağlı olmayan ana bilgisayarlarda başarısız olur.
Bu gibi durumlarda, saldırganlar bir barikatla karşılaştı: uyarıları tetiklemeden veya ayrıcalıklı erişim gerektirmeden yenileme jetonları nasıl elde edilir.
TrustedSec’in yakın zamanda piyasaya sürülen Get_azure_token BOF (Christopher Paschen tarafından) bir atılım ilham verdi.
Araç, kurbanın tarayıcısı aracılığıyla bir Entra yetkilendirme kodu akışını başlatır, Yetkilendirme Kodunu yerel bir dinleyici aracılığıyla yakalar ve belirteçlerle değiştirir.
Bununla birlikte, http: // localhost’a yönlendirme URI sınırlı hedefleri odak özellikli üç uygulamaya sınırlı hedefler: Azure CLI, Azure PowerShell ve Visual Studio Legacy.
Araştırmacılar, Microsoft’un yerel istemcisinin yeniden düzenlenmesinin URI’yi (https://login.microsoftonline.com/common/oauth2/nativeClient) yeniden düzenlemesinin yerel sistem kısıtlamasını atladığını keşfettiler. Masaüstü/mobil uygulamalar için tasarlanan bu URI, saldırganların şunları yapmasına izin verir:
- Hedef yüksek değerli odaklar Microsoft Teams, Copilot ve Edge gibi.
- Tarayıcı pencere başlıklarından Yetkilendirme Kodlarını Çıkarma Getwindowtexta API’sini kullanma.
- Jetonlar için değişim kodları Kolayca izlenen localhost yönlendirmelerine güvenmeden.
Teknik Arıza: İstismar Nasıl Çalışır
- BOF İcra: Saldırganın Beacon, hazırlanmış bir Entra Authcode URL’sine sahip bir tarayıcı başlatmak için bir komut gönderir.
- Kod yakalama: Mağdur kimlik doğrulamasından sonra, yetkilendirme kodu tarayıcının pencere başlığında görünür.
- Jeton değişimi: BOF, kodu çıkarır ve saldırgana söndürülen erişim/yenileme jetonları talep eder.
Örnek komut:
beacon> entra-authcode-flow 1fec8e78-bce4-4a03-aa91-5d88d2d7a83b “User.Read”
(Uses Microsoft Teams’ client ID for stealth)Azaltma önerileri
- Token isteklerini izleyin: Standart olmayan istemci kimlikleri için bayrak authcode akışları (örn., Takım dışı süreçlere verilen ekip jetonları).
- Odaklar rızasını kısıtlamak: Üçüncü Taraf Uygulama Onayını Entra Kimliğinde Denetleyin ve Sınırlayın.
- Kullanıcı eğitimi: Saldırı ilk tarayıcı erişimini gerektirdiğinden, çalışanları kimlik avı riskleri konusunda eğitin.
- Koşullu erişim: Hassas uygulamalar için cihaz uyumluluk politikalarını zorlayın.
Bu teknik, bulut kimliklerine karşı ortadaki düşman (AITM) saldırılarının artan karmaşıklığını vurgulamaktadır.
Jumpsec’in Jeton ve TrustedSec’in araçları çekiş kazanır, savunucular yerel OAuth akışlarını izlemeye ve entra yapılandırmalarının sertleşmesine öncelik vermelidir.
Konsept kanıtı BOF ve analiz GitHub’da mevcuttur ve proaktif savunma önlemleri için aciliyetin altını çizmektedir.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir