Cookie-Bite saldırısı nedir ve nasıl çalışır? Cookie-Bite saldırısının arkasındaki mantık nedir? Cookie-Bite saldırısının etkileri nelerdir? Bu saldırıdan korunmak için neler yapılmalıdır?
Cookie-Bite saldırısı nedir ve nasıl çalışır?
Cookie-Bite saldırısı, Azure Entra ID üzerinden çok faktörlü kimlik doğrulama (MFA) korumalarını atlayarak tarayıcı oturum çerezlerini çalmayı amaçlayan bir saldırıdır. Bu saldırı, kötü niyetli bir Chrome uzantısı ile yapılmaktadır. Uzantı, kullanıcının oturum çerezlerini taklit ederek saldırganın bulut hizmetlerine, örneğin Microsoft 365, Outlook ve Teams gibi, erişim sağlamasını mümkün kılar.
Saldırının temelinde, Azure Entra ID tarafından kullanılan iki önemli çerez türü yer alır: ‘ESTAUTH’ ve ‘ESTSAUTHPERSISTENT’. ESTAUTH, kullanıcının kimliğinin doğrulandığını belirten geçici bir oturum belirtecidir ve kullanıcının tarayıcı oturumu boyunca geçerliliğini korur. ESTSAUTHPERSISTENT ise, kullanıcının "Girişimi hatırla" seçeneğini işaretlediğinde oluşturulan kalıcı bir çerezdir ve 90 güne kadar geçerliliğini sürdürebilir.
Saldırı, kötü amaçlı uzantının kurbanın giriş olaylarını izlemeye almakla başlar. Uzantı, Microsoft giriş URL’leriyle eşleşen sekme güncellemelerini dinler ve bir giriş gerçekleştiğinde, ‘login.microsoftonline.com’ üzerinde bulunan tüm çerezleri okuyarak gerekli verileri saldırgana göndermektedir.
Cookie-Bite saldırısının arkasındaki mantık nedir?
Cookie-Bite saldırısının mantığı, kullanıcıların kimlik doğrulama süreçlerini atlamak için mevcut teknolojileri istismar etmektedir. Saldırgan, kurbanın cihazına zararlı bir uzantı yükleyerek, bu uzantı aracılığıyla çerezleri toplamaktadır. Bu çerezlerin çalınması teknik olarak yeni bir kavram olmasa da, Cookie-Bite saldırısının uygulama biçimi ve gizliliği dikkat çekicidir.
Uzantının işlevselliği, çerezleri toplamaktan ibaret değildir. Saldırgan, çerezleri çaldıktan sonra, bu çerezleri tekrar tarayıcıya enjekte edebilir. Bu işlem, Cookie-Editor gibi meşru araçlarla gerçekleştirilebilir. Çalınan çerez, hedef uygulama için tamamen kimlik doğrulanmış bir oturum oluşturur, böylece MFA engeli aşılır.
Cookie-Bite saldırısının etkileri nelerdir?
Cookie-Bite saldırısının etkileri oldukça geniş bir spektrumda yer alır. Saldırgan, elde ettiği oturum çerezleriyle kurbanın Microsoft 365, Outlook ve Teams gibi bulut tabanlı hizmetlerine tam erişim sağlayabilir. Bu durum, kurbanın e-postalarına, iletilerine, takvimlerine ve dosyalarına erişim olanağı sunar.
Saldırıya uğrayan bir kullanıcı, sadece yüzeysel verilere değil, aynı zamanda kullanıcı rollerine, cihazlarına ve daha fazlasına erişim sağlayan araçları kullanabilen bir saldırganla karşı karşıya kalır. Örneğin, Graph Explorer kullanarak kullanıcı bilgilerini ve rollerini açığa çıkarabilir, yetki yükseltme işlemleri gerçekleştirebilir ya da yetkisiz uygulama kayıtları oluşturabilir.
Ayrıca, Microsoft’un kurban girişlerinin VPN kullanılarak yapılmasını "tehlikeli" olarak etiketlemesi, siber güvenlik önlemlerinin ne kadar önemli olduğunu gösterir. Siber güvenlik uzmanları, anormal oturum açma eylemlerini izlemek ve raporlamakla yükümlüdürler.
Bu saldırıdan korunmak için neler yapılmalıdır?
Cookie-Bite saldırısına karşı alınması gereken bazı önlemler birkaç temel ilkeye dayanır. Öncelikle, şartlı erişim politikalarının (CAP) uygulanması önemlidir. Bu politikalar, belirli IP aralıkları ve cihazlarla sınırlı oturum açma izinleri sağlar. Bu sayede, kurumsal ağlar üzerinde olası saldırılar minimize edilebilir.
Buna ek olarak, Chrome uzantılarının yönetimini güçlendirmek için Chrome ADMX politikalarının belirlenmesi önerilir. Bu politikalar, yalnızca onaylanmış uzantıların çalışmasına izin veren bir yapı sağlar ve kullanıcıların tarayıcının Geliştirici Modu’na girmelerini engeller.
Ayrıca, kullanıcıların çerez güvenliği ile ilgili eğitim almaları sağlanmalı ve kötü amaçlı yazılımlara karşı sürekli bir izleme ve değerlendirme mekanizması oluşturulmalıdır. Çerezleri şifreleme yöntemleri ve tarayıcı güvenliği ile ilgili güncellemelerin düzenli olarak yapılması, olası siber saldırılara karşı bir diğer koruma önlemidir.
Cookie-Bite saldırısı gibi gelişmiş tehditler karşısında teknolojik ve insan kaynağı düzeyinde sürekli bir savunma hattı oluşturmak, bireysel ve kurumsal güvenliği artıracaktır. Unutulmamalıdır ki, siber tehditler dinamik bir yapıya sahiptir ve bu bağlamda sürekli güncel kalmak esastır.
