Microsoft, birkaç gün önce açıklanan ve kendi kurumsal e-posta sistemine sızan saldırılara benzer kalıcı ulus-devlet saldırılarına karşı nasıl korunabilecekleri konusunda kuruluşlar için yeni bir kılavuz yayınladı.
Kılavuzun temel odak noktalarından biri, kuruluşların kötü amaçlı OAuth uygulamalarını kullanarak etkinliklerini gizlemek ve uygulamaları devre dışı bırakma çabalarına rağmen uygulamalara erişimi sürdürmek için kullanan tehdit aktörlerine karşı korunmak için neler yapabileceğidir.
Microsoft’a saldırı Gece yarısı kar fırtınası Rusya’nın Dış İstihbarat Servisi’ne (SVR) bağlı bir tehdit grubu olan Cozy Bear, diğer adıyla Cozy Bear, üst düzey yöneticiler de dahil olmak üzere birçok Microsoft çalışanına ait e-posta hesaplarının ele geçirilmesiyle sonuçlandı.
Saldırganlar, Kasım 2023’ün sonlarından başlayarak birkaç hafta boyunca Microsoft’un kurumsal e-posta hesaplarına erişti ve şirketin Midnight Blizzard hakkında hangi bilgilere sahip olabileceğini belirlemek amacıyla e-postaları ve belge eklerini sızdırdı.
Bu hafta ortaya çıkan yakın tarihli bir SEC dosyası, ABD hükümetinin resmi olarak SolarWinds saldırısının faili olarak tanımladığı tehdit aktörünün, ayrıca Hewlett Packard Enterprise’ın (HPE) ihlalini de gerçekleştirdi Geçtiğimiz Mayıs ayında bulut tabanlı e-posta ortamı. Saldırıların, SVR/Midnight Blizzard’ın gelecekteki potansiyel kampanyalara yönelik daha geniş ve devam eden istihbarat toplama çabasının bir parçası olduğuna inanılıyor.
onun içinde 19 Ocak blogu Başlangıçta saldırıyı açıklayan Microsoft, Midnight Blizzard’ın, tehdit aktörünün bir parola sprey saldırısı yoluyla ele geçirdiği eski, üretim dışı bir test hesabı aracılığıyla ortamına ilk erişimi elde ettiğini açıkladı. Şirket tarafından daha fazla araştırma yapılması —bu haftaki son blogunda ayrıntılı olarak anlatıldı – Midnight Blizzard oyuncularının, Microsoft’taki hedeflenen hesaplara yönelik parola sprey saldırıları başlatmak için “çok sayıda” meşru konut IP adresi kullandıklarını gösterdi; bunlardan biri, tehlikeye attıkları test hesabıydı. Microsoft, tehdit aktörlerinin saldırıları için yerleşik proxy altyapısını kullanmasının, faaliyetlerinin gizlenmesine ve tespitten kaçmasına yardımcı olduğunu söyledi.
OAuth Uygulamalarını Kötüye Kullanma
Saldırgan, test hesabına ilk erişimi elde ettikten sonra bunu, Microsoft’un kurumsal ortamına ayrıcalıklı erişime sahip eski bir test OAuth uygulamasını tanımlamak ve tehlikeye atmak için kullandı. Microsoft, daha sonra “aktörün ek kötü amaçlı OAuth uygulamaları oluşturduğunu” söyledi. “Microsoft kurumsal ortamında aktörlerin kontrol ettiği kötü amaçlı OAuth uygulamalarına izin vermek için yeni bir kullanıcı hesabı oluşturdular.”
Microsoft, saldırganın, kendilerine Office 365 Exchange posta kutularına tam erişim hakkı vermek için ele geçirdikleri eski OAuth uygulamasını kullandığını söyledi. Şirket, “OAuth’un kötüye kullanılması, tehdit aktörlerinin, başlangıçta ele geçirilen hesaba erişimlerini kaybetseler bile uygulamalara erişimi sürdürmelerine de olanak tanıyor” dedi.
Astrix Security araştırma ekibi lideri Tal Skverer, Midnight Blizzard oyuncularının, ele geçirilen hesaba erişimlerinin tespit edileceğini muhtemelen bildikleri için kötü amaçlı OAuth tokenlarından yararlandıklarını söylüyor.
“Kullanıcı – insan – hesaplarının güvenlik açısından geçirdiği inceleme göz önüne alındığında, bu durumda şifre püskürtme saldırısının başarısı zaman sınırlıydı” diyor. “Yani, onlar varken [access]OAuth uygulamaları oluşturdular ve bunlara izin vererek saldırganlar için süresi dolmayan OAuth erişim jetonları oluşturdular.”
Skverer, bu izinlerden bazılarının, başlangıçta güvenliği ihlal edilmiş bir hesap devre dışı bırakılsa veya silinse bile devam edebildiğini ve saldırganların, başlangıçta güvenliği ihlal edilmiş bir hesap aracılığıyla erişimini kaybetseler bile erişimlerini sürdürmelerine olanak sağladığını söylüyor.
Kötü Amaçlı OAuth’u Engelleme
Microsoft’un 25 Ocak tarihli blogu, OAuth uygulamalarının kötüye kullanılmasıyla ilgili risklerin azaltılması konusunda kuruluşlara rehberlik sundu. Öneriler, kuruluşların hem kullanıcı hem de hizmet olmak üzere tüm kimliklerle ilişkili mevcut ayrıcalık düzeylerini denetlemesi ve yüksek ayrıcalıklara sahip olanlara odaklanması ihtiyacını içeriyor.
Microsoft, “Bilinmeyen bir kimliğe aitse, artık kullanılmayan kimliklere bağlıysa veya amaca uygun değilse ayrıcalık daha yakından incelenmelidir” dedi. Blog, ayrıcalıkları incelerken yöneticinin, kullanıcıların ve hizmetlerin genellikle ihtiyaç duyduklarının ötesinde ayrıcalıklara sahip olabileceğini akılda tutması gerektiğini belirtti.
Kuruluşlar aynı zamanda aşağıdaki niteliklere sahip kimlikleri de denetlemelidir: UygulamaKimliğe Bürünme Microsoft, Exchange Online’da hizmetlerin bir kullanıcının kimliğine bürünmesine ve kullanıcının yapabileceği aynı işlemleri yürütmesine olanak tanıyan ayrıcalık.
Şirket, “Yanlış yapılandırılırsa veya uygun şekilde kapsamlandırılmazsa, bu kimlikler ortamdaki tüm posta kutularına geniş erişime sahip olabilir” diye uyardı.
Microsoft, kuruluşların kötü amaçlı OAuth uygulamalarını ve yönetilmeyen hizmetlerden bağlanan kullanıcılar için koşullu erişim uygulaması kontrollerini tanımlamak için anormallik algılama ilkelerini kullanmayı da düşünmesi gerektiğini söyledi.
Gece Yarısı Blizzard Nasıl Tespit Edilir
Blog ayrıca Midnight Blizzard ile ilişkili kötü amaçlı etkinlikleri tespit etmek ve tespit etmek için günlük verilerinde nelerin aranması gerektiği konusunda ayrıntılı rehberlik de içeriyordu.
Skverer, duruş yönetimi araçlarının kuruluşların çevrelerindeki tüm insan dışı kimliklerin (NHI’ler) – özellikle de en yüksek riski oluşturanların – envanterini çıkarmalarına yardımcı olabileceğini söylüyor.
“Özellikle Midnight Blizzard tarafından kullanılan TTPS için bu araçlar, Office 365 Exchange’de kimlik doğrulaması yapılırken her kullanıcının kimliğine bürünmek için aşırı izin veren erişime sahip, kullanılmayan bir OAuth uygulamasını vurgulayacaktır” diyor.