Microsoft Entra Kimliğindeki Eski Oturum Açma, Bulut Hesaplarını İhlal Etmek İçin Kullanıldı
Microsoft Entra ID'nin eski oturum açma özelliğindeki bir açık, saldırganların MFA'yı atlatarak finans, sağlık ve teknoloji sektörlerindeki yönetici hesaplarını hedef almasına olanak sağladı.
Siber güvenlik firması Guardz, Microsoft Entra ID'nin eski kimlik doğrulama protokollerindeki bir zayıflıktan yararlanan hedefli bir saldırı keşfetti. Bu saldırı, saldırganların Çok Faktörlü Kimlik Doğrulama ( MFA ) gibi modern güvenlik önlemlerini aşmasını sağlıyor.
18 Mart - 7 Nisan 2025 tarihleri arasında gerçekleşen saldırılarda, yetkisiz erişim elde etmek için eski bir oturum açma yöntemi olan Temel Kimlik Doğrulama Sürüm 2 - Kaynak Sahibi Parola Kimlik Bilgisi ( BAV2ROPC ) kullanıldı ve bulut ortamlarında güncel olmayan kimlik doğrulamanın tehlikeleri ortaya çıktı.
Guardz'ın Hackread.com ile paylaştığı rapora göre bu kampanya finansal hizmetler, sağlık, imalat ve teknoloji hizmetleri gibi çeşitli sektörleri hedef aldı.
Bu olay, Hackread.com tarafından Nisan 2025'te bildirilen ve Microsoft'un yenileme belirteçleri ve MACE Kimlik Bilgisi İptali uygulamasıyla ilgili dahili bir hatadan kaynaklanan yaygın Microsoft Entra ID hesap kilitlenmelerini takip ediyor. Hackread'in raporu, dahili bir sorun nedeniyle kasıtsız kilitlenmeleri ayrıntılı olarak açıklasa da, Guardz keşfi, kötü niyetli aktörler tarafından Entra ID güvenlik açıklarının kasıtlı olarak istismar edildiğini vurguluyor.
Guardz Araştırma Birimi (GRU), tehdit aktörlerinin Entra ID'nin eski uygulamaların basit kullanıcı adları ve parolalar kullanarak kimlik doğrulaması yapmasına olanak tanıyan bir uyumluluk özelliği olan BAV2ROPC'yi aktif olarak kullandığını keşfetti.
MFA ve diğer güvenlik kontrollerini zorunlu kılan çağdaş etkileşimli oturum açma süreçlerinin aksine, BAV2ROPC etkileşimsiz olarak çalışır. Bu kritik fark, saldırganların MFA, Koşullu Erişim Politikaları ve hatta oturum açma uyarıları ve kullanıcı varlığı doğrulamasını tamamen atlatmasına olanak tanır ve bu modern korumaları etkili bir şekilde işe yaramaz hale getirir.
Saldırı, 18-20 Mart tarihleri arasında gerçekleşen ve günlük ortalama 2.709 şüpheli giriş girişiminin yaşandığı, daha düşük yoğunluklu bir araştırmanın yapıldığı "Başlatma" aşamasıyla başlayarak iki ayrı aşamada gerçekleşti.
Bunu, 21 Mart'tan 3 Nisan'a kadar süren ve günlük 6.444'ün üzerinde denemeye (tam %138'lik bir artış) ulaşan dramatik bir aktivite artışının görüldüğü "Sürdürülebilir Saldırı" aşaması izledi. Bu artış, belirlenen güvenlik açıklarının agresif bir şekilde istismar edilmesine doğru açık bir kayma olduğunu gösterdi.
Guardz Research, öncelikli olarak Doğu Avrupa ve Asya-Pasifik bölgesinden olmak üzere 9.000'den fazla şüpheli Exchange oturum açma girişimini izledi. Kampanya, açığa çıkmış eski uç noktalara odaklanarak otomatik kimlik bilgisi püskürtme ve kaba kuvvet taktiklerini içeriyordu.
Saldırılar çeşitli eski kimlik doğrulama vektörlerini hedef aldı ve bunların %90'ından fazlası Exchange Online ve Microsoft Kimlik Doğrulama Kitaplığı'nı hedef aldı; bunların arasında yönetici hesaplarına önemli ölçüde odaklanıldı.
"Yönetici hesaplarına özel bir odaklanma vardı. Bir alt küme 8 saat içinde 432 IP'den yaklaşık 10.000 girişim aldı, " diye yazdı Guardz'dan Elli Shlomo blog yazısında .
Kampanya yatışmış olsa da, Guardz, güvenlik açığının uyumluluk için BAV2ROPC, SMTP AUTH, POP3 ve IMAP4 gibi protokollere güvenen birçok kuruluşta devam ettiği konusunda uyarıyor. Araştırmacılar, bu yöntemlerin MFA'yı atlattığını , Koşullu Erişimi görmezden geldiğini ve sessiz, etkileşimsiz oturum açmalara olanak sağladığını, böylece "gizli bir arka kapı" oluşturduğunu belirtti.
Guardz CEO'su ve Kurucu Ortağı Dor Eisner, bu konunun kritik niteliğini vurgulayarak, "Bu kampanya, yalnızca bir güvenlik açığıyla ilgili değil, aynı zamanda günümüzün tehdit ortamına artık hizmet etmeyen eski teknolojilerin emekliye ayrılmasına yönelik daha geniş bir ihtiyaçla ilgili bir uyarı niteliğindedir." dedi.
Guardz, riskleri azaltmak için kuruluşları eski kimlik doğrulamayı derhal denetlemeye ve devre dışı bırakmaya, MFA ile modern kimlik doğrulamayı uygulamaya, desteklenmeyen akışları engellemek için koşullu erişim politikaları uygulamaya ve olağandışı oturum açma etkinliklerini yakından izlemeye çağırıyor.
HackRead
