Microsoft’un İş Dünyası için Windows Hello (WHfB) varsayılan kimlik doğrulama modelinin, yakın zamanda sürüm düşürme saldırılarına karşı savunmasız olduğu ve tehdit aktörlerinin biyometrik olarak korunan bilgisayarlara ve dizüstü bilgisayarlara bile girebildiği tespit edildi.
Bilgisayarın Güvenilir Platform Modülü’ne (TPM) yerleştirilen ve biyometrik veya PIN tabanlı doğrulama ile etkinleştirilen kriptografik anahtarları kullanan WHfB kimlik doğrulaması, bir kimlik doğrulama isteği içindeki parametreleri değiştirerek aşılabilir.
Geçtiğimiz yılın sonlarında bu keşfi yapan Accenture kırmızı takım güvenlik araştırmacısı Yehuda Smirnov, bunu Microsoft’a bildirdi ve Microsoft da bir düzeltme yayınladı. Smirnov, bir oturumda saldırıyı ve bu açığın nasıl azaltılacağını gösterecek. Black Hat ABD 2024 8 Ağustos’ta Las Vegas’ta.
Ortadaki Düşmanla Kimlik Doğrulama Düşürmeleri
Windows 10’un ticari ve kurumsal sürümleri için bir seçenek olan WHfB, 2016’dan beri mevcuttur. Parolalardan veya SMS tabanlı tek seferlik parolalardan (OTP’ler) daha güvenli bir doğrulama modu olan Windows Hello’nun cihaz tabanlı biyometrik veya PIN kimlik doğrulamasını kullanarak kimlik avı saldırılarına karşı koruma sağlamak üzere tasarlanmıştır.
Smirnov, WHfB’nin güvenli kimlik doğrulama modelindeki bir açığı ortaya çıkaran ilk kişi değil. 2019 yılında araştırmacılar şunları keşfetti: WHfB’deki saldırı vektörleri, özellikle güvenlik araçlarından kaçan kalıcı bir Active Directory arka kapısı. Ve geçen ay, araştırmacılar nasıl şifre düzenleme saldırıları kimlik doğrulamanın düşürülmesini zorlayabilir Microsoft ve diğer hizmetler için.
Bu durumda, Smirnov bir saldırganın Microsoft’un kimlik doğrulama hizmetlerine yönelik POST isteklerini kesebileceğini ve değiştirebileceğini, WHfB’yi daha az güvenli parolalara veya OTP yöntemlerine varsayılan olarak ayarlayabileceğini buldu. Smirnov, Dark Reading’e açık kaynaklı Evilginx adversary-in-the-middle (AitM) ters proxy saldırı çerçevesini kullanarak WHfB’nin varsayılan kimlik doğrulamasını düşürebildiğini söyledi. Saldırganların kimlik bilgilerini ve oturum çerezlerini dolandırmak için Evilginx’i kullandığı ve bu sayede çok faktörlü kimlik doğrulamasını atlatıp dolandırıcı bir yönteme geçebildiği bilinmektedir.
Smirnov, Evilginx’i kullanarak, “/common/GetCredentialType”a POST isteğini keserek ve kullanıcı aracısını veya “isFidoSupported” parametresini değiştirerek WHfB’yi büyük ölçekte kimlik avına yönelik bir kimlik doğrulama biçimine indirgeyebildi. “Evilginx kodu değiştirildi ve saldırının otomasyonunu kolaylaştırmak için bir kimlik avı aracısı oluşturuldu” diye belirtti. ilk belgeleme sırasında keşfi.
WHfB’nin Kimlik Avına Karşı Dayanıklı Modeli
Smirnov, keşfinin WHfB’nin güvensiz olduğunu göstermediğini söylüyor. “Buradaki güvensiz kısım protokolün kendisiyle ilgili değil, daha ziyade kuruluşun güçlü kimlik doğrulamayı nasıl zorladığı veya zorlamadığıyla ilgili,” diyor. “Çünkü kimlik avına dayanıklı kimlik doğrulamanın amacı, onu kimlik avına dayanıklı olmayan bir şeye indirgeyebiliyorsanız nedir?”
Smirnov, WHfB protokolünün tasarlanma şekli nedeniyle tüm mimarinin kimlik avına karşı dirençli olduğunu savunuyor. “Ancak Microsoft’un o zamanlar, kuruluşların kimlik avına karşı dirençli bu kimlik doğrulama yöntemini kullanarak oturum açmayı zorunlu kılmasına izin verecek bir yolu olmadığından, her zaman parola ve SMS-OTP gibi daha az güvenli bir kimlik doğrulama yöntemine geri dönebilirdiniz,” diyor Smirnov.
Bir kullanıcı Windows Hello’yu ilk olarak cihazına kaydettirdiğinde, WHiB’nin kimlik doğrulama mekanizması bilgisayarın TPM’sinde depolanan özel bir anahtar kimlik bilgisi oluşturur. Özel anahtar, TPM’de korumalı olduğundan bir saldırgan tarafından erişilemez, bu nedenle oturum açma zorluğu olarak Windows Hello uyumlu bir biyometrik anahtar veya PIN kullanan bir kimlik doğrulama zorluğu gerektirir.
Microsoft, WHiB kullanarak bulut uygulamalarıyla kimlik doğrulaması yapmak için, özel anahtarı kullanarak doğrulama zorluğunu talep etmek üzere cihazdaki Windows Hello ile etkileşime giren bir tarayıcıda uygulanan WebAuthn API’sini kullanarak istemciye gönderilen bir zorluk oluşturur. World Wide Web Consortium (W3C) standardı olan WebAuthn, FIDO2 veya anahtar tabanlı kimlik doğrulamanın temel bileşenidir.
Microsoft’un Çözümü: Yeni Koşullu Erişim Politikası
Microsoft’un düzeltmesi, yöneticilerin artık Azure portalında etkinleştirebileceği “kimlik doğrulama gücü” adlı yeni bir Koşullu Erişim özelliğinin eklenmesiyle Mart ayında sessizce geldi. “Temel olarak, çalışanları yalnızca kimlik avına dayanıklı kimlik doğrulaması kullanarak kimlik doğrulaması yapmaya zorlayabilirler,” diyor Smirnov. “Artık bunu yapmaları mümkün, ki bu daha önce mümkün değildi.”
Microsoft’a göre, kimlik doğrulama gücü parametresi hassas bilgilere erişmek için yalnızca kimlik avına dayanıklı kimlik doğrulaması gerektirebilir. Microsoft, kimlik doğrulama gücünün kimlik doğrulama yöntemleri politikasıYöneticilerin belirli kullanıcılar ve gruplar için kimlik doğrulama yöntemleri aramasına olanak tanır.
Yeni kimlik doğrulama gücü yeteneği artık bu ayın başlarında güncellenen Microsoft’un Entra ID federasyon uygulamalarıyla birlikte kullanılabilir. Entra Suite’in piyasaya sürülmesiMicrosoft, kuruluşların kaynak hassasiyeti, kullanıcı riski, uyumluluk gereksinimleri ve konum gibi çeşitli koşullara bağlı olarak kimlik doğrulama gücünü ayarlayabileceğini söylüyor.
Microsoft, Dark Reading’in güvenlik açığı ve çözümü hakkında ek yorum talebine yanıt vermedi.
Smirnov, sonuç olarak, bu yeni koşullu erişim politikalarını yapılandıran yöneticilerin, kullanıcıların yalnızca kimlik avına dayanıklı yöntemlerle kimlik doğrulaması yapabilmesini sağlayabileceğini vurguluyor.
“Bu şekilde, bir saldırgan kimlik doğrulama yöntemini düşüremez çünkü kimlik bilgisi çalışmayacaktır,” diyor. “Çünkü koşullu erişim politikası, kimlik avına dayanıklı olan dışında herhangi bir kimlik doğrulama politikası kullanılarak oturum açılmasına izin vermez.”