CloudSek’in Bevigil platformu, bir havacılık devini etkileyen kritik bir güvenlik açığı ortaya çıkardı; burada, kimliği doğrulanmamış bir API uç noktası içeren açıkta kalan bir JavaScript dosyası, yüksek ayrıcalıklara sahip Microsoft Graph tokenlerine yetkisiz erişime yol açtı.
Bu güvenlik atlaması, 50.000’den fazla Azure Active Directory kullanıcısına ait hassas verilerin maruz kalmasıyla sonuçlandı ve kullanıcı gizliliği, organizasyonel güvenlik ve düzenleyici uyum için önemli riskleri vurguladı.
Kritik güvenlik açığı keşfi
Güvenlik kırılganlığı, herhangi bir kimlik doğrulama mekanizması olmadan erişilebilir sabit kodlu bir uç nokta içeren bir JavaScript demeti tespit eden Bevigil’in API tarayıcısı aracılığıyla tanımlandı.
.png
)
Bu uç nokta, Microsoft Graph API jetonlarını aşırı ve tehlikeli izinlere sahip, özellikle user.read.all ve AccessReview.Read.Lle Scopes ile yapılandırılmıştır.
Bu özel izinler, kullanıcı profili bilgilerine ve genellikle sadece yetkili personel ile sınırlandırılması gereken kritik kimlik yönetişim verilerine kapsamlı erişim sağladıkları için Microsoft’un kimlik ekosisteminde son derece hassas olarak kabul edilir.
Bu pozlamanın teknik sonuçları, user.read.Llead.lult, Azure reklam kiracı içindeki tüm kullanıcı profillerine tam görünürlük sağlarken, AccessReview.read.LL, hassas yönetişim yapılandırmalarına ve erişim inceleme verilerine erişim sağlar.
Bu yanlış yapılandırılmış uç noktadan yararlanan bir saldırgan, tam adlar, iş başlıkları, iletişim bilgileri, organizasyonel raporlama yapıları ve erişim inceleme yapılandırmaları dahil olmak üzere ayrıntılı çalışan bilgilerini çıkarmak için Microsoft grafik uç noktalarını sistematik olarak sorgulayabilir.
Bu güvenlik açığının sürekli doğası, yeni eklenen kullanıcıların sisteme otomatik olarak maruz kalan veri kümesine dahil edildiği ve zaman içinde genişleyen devam eden bir güvenlik riski yarattığı anlamına geliyordu.
CloudSek raporuna göre, saldırı vektörünün sofistike, basitliğinde, gelişmiş teknik beceriler veya sofistike araçlar gerektirmeyen, sadece maruz kalan uç nokta konumu hakkında bilgi sahibi değil.
Bu erişilebilirlik, potansiyel etkiyi en üst düzeye çıkarırken potansiyel saldırganların bariyerini önemli ölçüde azaltır, çünkü maruz kalan veriler ayrıcalık yükseltme saldırılarını, kimlik hırsızlığı planlarını ve otantik organizasyonel bilgileri kullanan yüksek hedefli kimlik avı kampanyalarını kolaylaştırabilir.
Uyumluluk sonuçları
Bu veri maruziyetinin ölçeği, hem acil güvenlik duruşu hem de uzun vadeli organizasyon risk yönetimi için geniş kapsamlı sonuçlar sunmaktadır.
50.000’den fazla kullanıcı etkilenen ihlal, maruziyeti sosyal mühendislik ve taklit saldırıları için özellikle yüksek değerli hedefler yaratan yönetici düzeyinde personel de dahil olmak üzere kuruluşun işgücünün önemli bir bölümünü kapsamaktadır.
Maruz kalan kişisel tanımlayıcılar, kullanıcı ana adları ve erişim rolü ödevleri, saldırganlara kuruluşun iç yapısı ve hiyerarşisi hakkında kapsamlı bir zeka sağlar.
Teknik güvenlik perspektifinden bakıldığında, sızdırılmış yetkilendirme jetonları, iç dizin yapılarına ve yönetişim kararlarına sınırsız görünürlük sağlayabilir ve potansiyel olarak saldırganların kuruluşun tüm kimlik altyapısını haritalamasını sağlar.
Bu erişim seviyesi, saldırganların uzun vadeli erişimi sürdürebileceği ve ayrıcalıkları yavaş yavaş artar ve kuruluşun sistemleri içindeki ayak izlerini genişletebilecekleri gelişmiş kalıcı tehdit senaryolarını kolaylaştırır.
Düzenleyici uyumsuzluk sonuçları, uygun önlemler olmadan kişisel olarak tanımlanabilir bilgilerin yetkisiz maruz kalması, GDPR ve CCPA dahil olmak üzere ana veri koruma çerçeveleri altında potansiyel ihlaller yarattığından, eşit derecede ilgilidir.
Havacılık endüstrisinin katı düzenleyici ortamı, veri ihlalleri endüstriye özgü uyum araştırmalarını ve standart gizlilik düzenlemelerinin ötesine uzanan operasyonel aksamaları tetikleyebileceğinden bu endişeleri birleştirir.
Güvenlik uzmanları, hem acil güvenlik açığı hem de altta yatan güvenlik mimarisi zayıflıklarını ele almak için kapsamlı iyileştirme önlemlerinin derhal uygulanmasını önermektedir.
Öncelikli eylemler, savunmasız uç noktaya halkın erişimini devre dışı bırakma, katı kimlik doğrulama kontrollerinin uygulanması ve etkilenen kimlik bilgilerini döndürürken hemen tehlikeye atılan tüm jetonların iptal edilmesini içerir.
Kuruluşlar, jeton kapsamları hakkında kapsamlı incelemeler yaparak ve izinleri sınırlandırarak yalnızca meşru iş işlevleri için kesinlikle gerekli olanlarla en az ayrıcalık ilkeleri uygulamalıdır.
Bu olay, ön uç bileşenlerinin güvence altına alınmasının ve hassas arka uç hizmetlerinin kamuya açık erişimden uygun şekilde izole edilmesini sağlamanın kritik önemini vurgulamaktadır.
Güvenlik açığı, istemci tarafı kodundaki görünüşte küçük yapılandırma gözetimlerinin, tüm organizasyon dizinleri ve kullanıcı popülasyonlarını tehlikeye atan büyük güvenlik maruziyetleri oluşturabileceğini göstermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!