Microsoft, 2020 SolarWinds tedarik zinciri saldırısının arkasındaki hacker grubunun, kurumsal ağlarda kimlik doğrulamasını atlamak için yeni bir tekniğe sahip olduğu konusunda uyardı.
Microsoft’un “MagicWeb” olarak adlandırdığı son derece uzmanlaşmış bir yetenek olan hile, savunucular onları çıkarmaya çalışsa bile aktörlerin bir ağda sağlam bir temel oluşturmalarını sağlar.
Ancak, Microsoft’un Nobelium olarak takip ettiği grubun geçmişteki saldırılarından farklı olarak, MagicWeb’i dağıtmak için tedarik zinciri saldırılarını kullanmıyorlar, bunun yerine yönetici kimlik bilgilerini kötüye kullanıyorlar.
Nobelium “son derece aktif” olmaya devam ediyor
ABD ve İngiltere, Nobelium aktörlerinin Rus Dış İstihbarat Servisi (SVR) hackleme birimine ait olduğunu iddia ediyor. Nobelium aktörleri, SolarWinds yazılım oluşturma sistemlerinin 2020’nin sonlarında ele geçirilmesinden bu yana birkaç yüksek profilli tedarik zinciri saldırısı gerçekleştirdi. Bu saldırı, Microsoft dahil olmak üzere çeşitli ABD kurumları ve teknoloji şirketleri dahil olmak üzere 18.000 hedefi tehlikeye attı.
O zamandan beri, Microsoft ve diğer güvenlik şirketleri, Nobelium tarafından kullanılan arka kapılar gibi birkaç karmaşık araç belirledi – ve MagicWeb en sonuncusu. MagicWeb, kurumsal kimlik sistemlerini, yani Active Directory Federasyon Hizmetlerini (AD FS), yani buluttaki Azure Active Directory’nin aksine şirket içi AD sunucularını hedefler. Bu nedenle Microsoft, AD FS’nin yalıtılmasını ve buna erişimin kısıtlanmasını önerir.
Microsoft, Nobelium’un “son derece aktif” olmaya devam ettiğine dikkat çekiyor. Geçen Temmuz, Microsoft, sahip olduğunu açıkladı destek ajanlarından birinin bilgisayarında Nobelium bilgi çalan kötü amaçlı yazılım buldu, daha sonra diğer insanlara saldırı başlatmak için kullanıldı. Nobelium aktörleri ayrıca zıpkınla kimlik avı kampanyalarında ABD Uluslararası Kalkınma Ajansı USAID’i taklit ettiler.
Kimlik Doğrulama Sertifikalarının İşlenmesi
Ekim ayında Microsoft, Nobelium’un yazılım ve bulut hizmetleri satıcılarına yönelik saldırılarına dikkat çekti ve müşterilerin bilgisayar sistemlerine doğrudan erişimden yararlanmak için satıcı-müşteri güvenini bir kez daha kötüye kullandı.
Bulut hizmeti satıcılarına yönelik saldırılardan bir ay önce Microsoft, sertifikaları imzalamak ve jetonları şifrelemek ve kötü amaçlı yazılımları dağıtmak için bir içerik yönetim sisteminden bilgi toplayan bir uzlaşma sonrası arka kapı olan ‘FoggyWeb’ adlı bir Nobelium aracını ortaya çıkardı.
MagicWeb, AD FS’yi hedefleyen benzer yöntemler kullanır, ancak Microsoft, “gizli erişimi doğrudan kolaylaştırarak FoggyWeb’in toplama yeteneklerinin ötesine geçtiğini” iddia eder. »
“MagicWeb, bir AD FS sunucusu tarafından oluşturulan belirteçlerde iletilen taleplerin manipülasyonuna izin veren kötü amaçlı bir DLL’dir. Golden SAML gibi saldırılarda kullanılan sertifikaları imzalamak yerine, kimlik doğrulama için kullanılan kullanıcı kimlik doğrulama sertifikalarını manipüle eder. »
Microsoft, SAML’nin, kimlik sağlayıcılar ve hizmetler arasında güven ilişkileri kurmak ve belirteçleri imzalayıp şifresini çözmek için x509 sertifikalarını kullanan “Güvenlik Onayı İşaretleme Dili”ni ifade ettiğini açıklıyor.
Redmond uzmanları, yüksek oranda hedefli saldırılar olduğunu söylüyor
MagicWeb’i dağıtmadan önce, oyuncular yüksek ayrıcalıklı kimlik bilgilerine erişim kazandılar ve ardından yönetici haklarını elde etmek için ağ üzerinde yanlamasına hareket ettiler.
Microsoft, “Bu bir tedarik zinciri saldırısı değil” diyor. “Saldırganın AD FS sistemine yönetici erişimi vardı ve meşru bir DLL dosyasını kendi kötü amaçlı DLL’si ile değiştirerek AD FS’nin meşru ikili dosya yerine kötü amaçlı yazılımı yüklemesine neden oldu. »
Redmond şirketinin güvenlik ekipleri – Microsoft’un MSTIC, Microsoft 365 Defender Araştırma ve Microsoft Algılama ve Yanıt Ekibi (DART) – bir müşterinin sistemlerinde MagicWeb’i buldu. Şirket, MagicWeb’in “yüksek oranda hedeflenmiş” saldırılarda kullanıldığına inanıyor.
Microsoft, müşterilerin AD FS altyapısını yalıtılmış ve yalnızca ayrılmış yönetim hesapları tarafından erişilebilir durumda tutmasını veya Azure Active Directory’ye geçiş yapmasını önerir.
Microsoft, MagicWeb’in kimlik doğrulamasını atlamayı nasıl başardığına ilişkin ayrıntılı bir açıklama sağlar. Açıklama, AD FS “talep tabanlı kimlik doğrulamanın” nasıl çalıştığını anlamaya dayanmaktadır. AD FS, bir kuruluş için tek oturum açma yerine, dış tarafların (müşteriler, iş ortakları ve satıcılar) tek oturum açma ile kimlik doğrulaması yapmasına izin vermek için “talepler” (belirteçler) kullanabilir.
Microsoft, “MagicWeb, bir AD FS sunucusunun normal rollerinin dışında kötü amaçlı eylemler gerçekleştirmek için talep sürecine kendisini enjekte eder,” diye açıklıyor.
Kimlik ve kimlik doğrulama altyapısı nasıl korunur?
MagicWeb ayrıca, sertifikanın hangi uygulamalar için kullanılması gerektiğini belirten Gelişmiş Anahtar Kullanımı (EKU) değerlerini içeren SAML x509 sertifikalarını da kötüye kullanır. » EKU’lar, örneğin akıllı kart girişini desteklemek için nesne tanımlayıcı (OID) değerlerini içerir. Kuruluşlar, sertifika kullanımını kısıtlamak için özel OID’ler de oluşturabilir.
Microsoft, “MagicWeb kimlik doğrulama atlaması, belirli bir kullanıcı asıl adı için bir kimlik doğrulama isteği sırasında MagicWeb kötü amaçlı yazılımına sabit olarak kodlanmış standart olmayan, geliştirilmiş bir anahtar kullanım OID’sinin iletilmesinden kaynaklanır,” diye açıklıyor Microsoft.
“Bu sabit kodlanmış benzersiz OID değeriyle karşılaşıldığında, MagicWeb, kimlik doğrulama isteğinin tüm standart AD FS işlemlerini (çok faktörlü kimlik doğrulama kontrolleri dahil) atlamasına ve kullanıcının isteklerini doğrulamasına neden olur. MagicWeb, Golden SAML gibi saldırılarda kullanılan SAML talep imzalama sertifikalarını değil, SAML imzalarında kullanılan kullanıcı kimlik doğrulama sertifikalarını manipüle eder. »
Hedef alınabilecek kuruluşlarda çalışan savunucular, Microsoft’un blog yazısı ağların nasıl güçlendirileceği ve kimlik ve kimlik doğrulama altyapısının nasıl korunacağı konusunda tavsiyeler için.
Kaynak : ZDNet.com