Çevrimiçi hesaplar giderek daha fazla kullanılırken şifre teknolojisiyle korunmaktadırbirçok bankacılık, e-ticaret, sosyal medya, web sitesi alan adı yönetimi, yazılım geliştirme platformları, bulut hesapları ve daha fazlasının, anahtar geçişlerini anlamsız kılan aracı saldırılar (AitM) kullanılarak hala tehlikeye atılabildiği ortaya çıktı.
eSentire’ın Tehdit Müdahale Birimi’nin (TRU) baş güvenlik araştırmacısı Joe Stewart, sorunun şifrelerin kendisinde değil, bunların uygulanmasında ve hesap kurtarma seçeneklerine duyulan ihtiyaçta yattığını söylüyor.
Birçok web sitesi, bir kullanıcının parolasıyla ilgili bir sorun yaşaması veya cihazının kaybolması durumunda hesapların kurtarılamaz hale gelmemesi için daha az güvenli yedekleme kimlik doğrulama yöntemleri sağlar. Saldırganlar, kullanıcı ile web sitesi arasına girerek bundan faydalanabilir. herhangi bir AitM senaryosuve daha sonra kullanıcıya şifre seçeneği verilmeyecek şekilde oturum açma ekranının nasıl göründüğünü değiştiriyor.
“AitM, HTML’yi değiştirerek kullanıcıya sunulan görünümü değiştirebildiğinden, CSSStewart, oturum açma sayfasındaki resimler veya JavaScript’ler, son kullanıcıya proxy ile iletilirken, kimlik doğrulama akışını kontrol edebilir ve geçiş anahtarı kimlik doğrulamasına ilişkin tüm referansları kaldırabilir” şeklinde açıkladı Blog yazısı Bulgularına dayanarak, bunlara “kimlik doğrulama yöntemi sansür saldırıları” adını verdi.
Bu stratejiyi kullanarak, hedefi gizlenen düşman tarafından yakalanabilecek daha az güvenli bir alternatife düşürmeye zorlayabilirler. Ve bu, geçiş anahtarları etrafındaki güvenlik konuşmasında “bir delik açan” bir keşiftir, diye açıklıyor Stewart Dark Reading’e.
“Konuyu araştırmaya başladık ve piyasadaki anahtar doğrulama mekanizmalarının bazılarının, hatta hepsinin, anahtarları birçok seçenekten biri olarak sunmaları gibi aynı soruna sahip olduğunu ve saldırganların bu seçeneği kolayca kaldırarak hesap ele geçirmelerine olanak tanıyan daha az güvenli yöntemlerle baş başa kaldıklarını gördük” diyor.
GitHub, Microsoft Passkey Uygulamaları Saldırıya Açık
Bu saldırı akışının bir kavram kanıtı (PoC) örneğinde, Stewart açık kaynaklı Evilginx AitM yazılımını kullanarak gerçek bir GitHub oturum açma sayfasını proxy olarak kullanıp değiştirebildi, sayfadan “Parola ile oturum açın” metnini kaldırarak kullanıcının görmesini engelledi ve bunun yerine oturum açmak için farklı bir yol seçme seçeneği sundu.
Stewart, “Kullanıcı, bir geçiş anahtarı seçeneği görmesi gerektiğini özel olarak hatırlamadığı sürece, büyük olasılıkla yalnızca kullanıcı adı ve parolasını girmeyi seçecektir. Bu, saldırganın hesaba kalıcı erişimini sürdürmek için kullanabileceği kimlik doğrulama belirteci/çerezlerle birlikte saldırgana gönderilecektir” diyor.
Bir geçiş anahtarının kimlik doğrulamanın ikinci faktörü olarak kullanıldığı başka bir senaryoda, Stewart bir kez daha, ikinci faktör geçiş anahtarı kimlik doğrulama yöntemini tamamen silmek için sayfanın HTML’sini yeniden yazmanın önemsiz olduğunu buldu. Ya da bulgularda açıkladığı gibi, bir saldırgan “alternatif yöntemlerden birine tıklamak için enjekte edilen JavaScript’i kullanabilir, kimlik doğrulama akışında otomatik olarak ileri atlayabilir, böylece kullanıcı bir seçenek olduğunun farkında bile olmaz.”
Yazıda yazdığına göre, “Kimlik doğrulama uygulaması veya kurtarma kodu gibi diğer ikinci faktör yöntemleri AitM’ye dayanıklı olmadığından, saldırgan bir kez daha hesaba erişmek için ihtiyaç duyduğu tüm kimlik bilgilerini ve belirteçleri/çerezleri ele geçirebilecek.”
Gerçekten de, bir Microsoft tüketici hesabı kullanan üçüncü bir senaryoda, parolalı oturum açma seçeneği tekrar gizlenebilir. Ancak, Microsoft teorik olarak bu saldırı tarzını geçersiz kılabilecek yeni bir “parolasız” seçeneği tanıttı. Kötü haber mi? Parolasız hesap seçeneği kimlik doğrulamanın tek yöntemi olarak Microsoft Authenticator uygulamasının kullanılmasını gerektirdiğinden, parolalı düzenlemeyi engellemek için gerçekten işe yaramıyor — AitM saldırılarına karşı hala savunmasız bir akışdiye açıklıyor Stewart.
Bahsettiğimiz gibi, GitHub ve Microsoft yalnız değil; çoğu büyük perakendeci ve bulut uygulaması sağlayıcısı aynı sorun bende de var.
Bir Zaaf Değil, Üzücü Bir Gerçek
Stewart, kimlik doğrulama yöntemi sansürleme saldırılarının başarılı olmasının, geçiş anahtarı uygulamalarındaki kusurlar veya güvenlik açıkları nedeniyle değil, genel olarak kimlik doğrulamanın olgunlaşmamış olmasından kaynaklandığını vurguluyor.
Bir kişi için, çoğu kullanıcı henüz şifrelerle yeterince aşina değil ve bir sayfanın ne zaman manipüle edilebileceğini nasıl anlayacaklarını bilmiyorlar; bir diğeri için, uygulayıcılar AitM’nin oturum açma görünümünü nasıl değiştirebileceğinin farkında olmayabilir. Ve gerçek şu ki, hesap kurtarma seçenekleri sunmak bir zorunluluktur; geçiş anahtarları donanım aygıtlarında bulunur, bu nedenle aygıt kaybolursa, hesaba erişmek için başka bir yol olması gerekir. Ne yazık ki, bu yedekler neredeyse her zaman AitM’ye karşı savunmasızdır.
“Hesap kurtarma ihtiyacı olmasaydı, AitM’ye dayanıklı bir parola doğrulama akışı oldukça basit olabilir ve parolaları tamamen terk ederek parolaları tercih edebilirdi,” diye yazdı Stewart gönderide. “Ne yazık ki gerçek dünyada yaşıyoruz ve parolalar kaçınılmaz olarak cihaz kaybı/sıfırlaması nedeniyle kaybolacak. Kısmi bir çözüm olarak, parolalar bir parola yöneticisi tarafından yönetilebilir ve bu da kayba karşı daha fazla dayanıklılık sunar ve yine de bunun karşılığı, parola yöneticisi kasasının güvenliğinin artık en iyi ihtimalle bir ana parolaya ve ikinci bir gizli koda bağlı olmasıdır.”
Gerçekten de, ekibi etkilenen satıcılardan bazılarıyla iletişime geçtiğinde, bu bilgiyi takdir ettiklerini söylüyor — ancak tüketici alanında kimlik doğrulama yöntemlerinde seviye atlamanın ne kadar zor olduğu konusunda hala biraz bıkkınlık var. Şimdilik, sanki elleri bağlıymış gibi hissediyorlar.
“Herkes her zaman şöyle düşünüyor, biliyorsunuz, bu kişinin bir noktada dışarıda kalacağını, güvenlik anahtarını kaybedeceğini biliyoruz ve bu yüzden tüm bu yedek kimlik doğrulama yöntemlerini sağlamak zorunda kalacağız ve ne yazık ki bu, kimlik avı kitlerini çalıştıran kişilerin eline geçiyor,” diyor. “Tüketicilerin şifreleri gerçekten anlamadıklarına dair bir his var.”
Bu, Stewart’ın yaymak istediği daha iyi uygulamalar için seçenekler olmadığı anlamına gelmiyor – özellikle de hesap kurtarma için sihirli bağlantılar söz konusu olduğunda, ki bunlar “muhtemelen en güvenli yöntemdir” diyor Stewart. “Sihirli bağlantılar” bir e-posta hesabına gönderilir ve kullanıcıları oturum açmak için yeni bir oturum açma penceresine götürür.
“Size e-postayla gönderilen bir bağlantıya tıklarsanız ve tamamen yeni bir pencere açılırsa, bu sizin gerçek siteye doğrudan bir bağlantınızdır; kimlik avı penceresini atlatıyorsunuz, bu sizi ele geçirilmiş bu oturumdan kurtarıyor,” diyor. “Ve daha sonra, tehlikeye atılmış bir oturumda sansürlenmiş olması durumunda bir geçiş anahtarıyla güvenli bir şekilde kimlik doğrulama sürecinden geçebilirsiniz.”
Tek bir uyarı, bu yöntemin yalnızca saldırganlar için ortak hedefler olan e-posta gelen kutusu veya SMS ağı kadar güvenli olmasıdır. Bu nedenle Stewart, bunların kısa zaman aşımına sahip otomatik olarak oluşturulmuş tek seferlik bağlantılar olduğundan ve yalnızca daha önce kimliği doğrulanmış IP adreslerinden oturum açmalara izin verildiğinden emin olmak gibi ek güvenlik katmanlarının kullanılmasını savunur.
Stewart, sihirli bağlantılara benzeyen ancak kullanmak için güvenlik soruları veya yedek kod girişi gerektiren “koğuş bağlantıları”nın da uygulanabileceğini söylüyor.
Olumlu bir nokta olarak, ekibin görüştüğü sağlayıcılardan bazılarının AiTM saldırılarını engellemek için bu tür yeni yaklaşımları değerlendirmeye açık olduğunu da sözlerine ekliyor.
İşletmeler Parola Düzenlemesinden Kaynaklanan Tehlikeyi Nasıl Önleyebilir?
Stewart, donanım tabanlı anahtarlar kullanma ve yedek parolaların web sitesi başına karmaşık ve benzersiz olmasını gerektirme gibi bariz olanların ötesinde, kuruluşlardaki güvenlik ekiplerinin zorla kimlik doğrulama düşüşlerine karşı savunmayı güçlendirmek için birkaç seçeneğe sahip olduğunu, bunların arasında yukarıda belirtilen sihirli ve koruma bağlantılarının da bulunduğunu belirtiyor.
Örneğin, Microsoft’un Entra ID’si (eski adıyla Azure AD) ve Intune ürünleri, yöneticilerin, yalnızca “etki alanına katılmış, politikaya uygun, yönetilen cihazlardan” cihaz oturum açmayı zorunlu kılmak gibi, proxy üzerinden yapılan oturum açmaların başarılı olmasını engelleyebilecek koşullu erişim politikaları yapılandırmasına olanak tanır.
Stewart, “Etki alanına katılmış bir makinede olduğunuzu ve bu hizmetlerden hiçbirine giriş yapamayacağınızı doğrulamak, birinin kimlik bilgilerinizi alıp bunlarla çalışmasını çok daha zorlaştırır,” diye açıklıyor.
Ayrıca, işletmelere yönelik birçok kimlik ve erişim yönetimi (IAM) çözümü, yöneticilerin kuruluş, gruplar veya bireysel kullanıcılar için oturum açma ve hesap kurtarma akışını tanımlamasına olanak tanır; bu nedenle Stewart, “Kimlik doğrulama yöntemi sansürleme saldırılarına karşı savunmasız olmayan, geçiş anahtarları kullanılarak güvenli, parolasız bir oturum açma akışı tanımlamak mümkün olabilir” diyor ve bu yeteneğe sahip platformlardan biri olarak açık kaynaklı Keycloak IAM yazılımını örnek gösteriyor.
Genel olarak, güvenlik ekipleri her oturum açma oturumunun AitM tarafından tehlikeye atıldığını varsaymalı ve parola anahtarlarından uzaklaşarak kimlik doğrulama yöntemini düşürme girişiminde bulunulmadan önce, devam etmeden önce mevcut oturumdan “çıkılması” gerektiğini garanti altına almak için çalışmalıdır.
Stewart blog yazısında son olarak, “Kullanıcıların birden fazla şifre eklemesini teşvik edin veya zorunlu kılın, böylece bir tanesini kaybetmek hesaba erişimi engellemesin veya daha az güvenli kimlik doğrulama yöntemlerine geri dönmeyi gerektirmesin” tavsiyesinde bulundu.
En son haberleri kaçırmayın Karanlık Okuma Gizli podcastsiber suçlularla nasıl etkileşime girdikleri hakkında iki fidye yazılımı müzakerecisi ile konuştuğumuz bir bölüm: hayatların tehlikede olduğu bir hastane NICU’sunda operasyonları yeniden canlandırmak için nasıl bir anlaşma yaptıkları ve saldırganların kendilerinin “biraz dindar” olduğu bir kiliseye nasıl yardım ettikleri de dahil. Şimdi dinle!