Giriş
Son dönemde, Microsoft 365 ortamlarına yönelik başlatılan agresif bir parola tarama (password spraying) kampanyası, iki haftalık bir süre zarfında 81 milyonun üzerinde oturum açma girişimi gerçekleştirdi. Bu durum, özellikle güvenlik açıklarına karşı önlemler almak üzere kuruluşlar için büyük bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırganlar, geçerli kullanıcı adı ve parola kombinasyonlarını kullanarak Microsoft’un Azure komut satırı arayüzü (CLI) üzerinden kimlik doğrulamayı hedeflemiştir. Geçmişte ifşa olan bilgilerden yararlanan bu girişimler, kullanıcıların çok faktörlü kimlik doğrulama (MFA) düzeneğinin atlatılmasına neden olmuştur. ROPC (Resource Owner Password Credentials) OAuth mekanizması aracılığıyla yapılan bu işlemler, çoğu ortamda MFA’nın güvenlik açıkları nedeniyle etkisiz hale gelmesine yol açmaktadır.
Etkilenen Sistemler
Microsoft 365 hesaplarını hedef alan saldırıda, Huntress siber güvenlik firması, 12-26 Haziran tarihleri arasında 64 farklı organizasyona ait 78 Microsoft hesabının ele geçirildiğini tespit etmiştir. Özellikle şu durumlar gözlemlenmiştir:
- MFA, yalnızca belirli uygulamalara uygulanmış, tüm bulut uygulamalarını kapsamayacak şekilde yapılandırılmıştır.
- MFA yalnızca seçilmiş kullanıcı gruplarına zorunlu kılınmıştır.
- Güvensiz lokasyonlardan yalnızca MFA talep edilmiştir; bu, güvenilir görünen IP trafiğine izin vermiştir.
- Politikalar sadece raporlama modunda yapılandırılmış ve bu nedenle uygulanmamıştır.
Bunların yanı sıra, bazı kuruluşların hiç MFA politikası bulunmamaktadır.
Çözüm ve Korunma
Huntress, parolanın doğrudan /token uç noktasına iletildiğini ve etkileşimli MFA isteminin olmadığını belirtmektedir. Bu durum, saldırganlara kolaylık sağlamaktadır. Kuruluşların aşağıdaki önlemleri almaları önemlidir:
- MFA politikalarını tüm bulut uygulamalarına yükleyin.
- Belirli kullanıcı grupları yerine, tüm kullanıcılar için MFA’yı zorunlu hale getirin.
- Güvensiz lokasyonlardan gelen trafiği sınırlayın ve güvenilir IP adresleri üzerinden gelenlerin kontrol altına alın.
- Politikaları her zaman aktif biçimde uygulayın; raporlama modunda bırakmayın.
Aksiyon
Kuruluşlar, en kısa sürede aşağıdaki adımları atmalı:
- Tüm bulut uygulamalarında MFA’yı etkinleştirin.
- Güvenlik politikalarını gözden geçirerek güncelleyin.
- Güvensiz kaynaklardan gelen trafiği kontrol altına alın.
- Kullanıcı eğitimlerine önem vererek, güçlü parola yönetimi uygulamalarını teşvik edin.
Unutmayın, bu tür saldırılar sürekli olarak evrim geçirmekte ve siber güvenliğinizi tehdit etmektedir. Proaktif olmak, güvenliğinizin sağlanması için elzemdir.


