Yeni Tehdit: ConsentFix v3
Son dönemde hacker forumlarında ConsentFix v3 adıyla anılan yeni bir saldırı türü ortaya çıktı. Microsoft Azure üzerindeki OAuth kötüye kullanımını otomatikleştiren bu teknik, siber güvenlik açısından ciddi bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
ConsentFix v3, OAuth2 yetkilendirme kodu akışını istismar eden bir saldırı tekniği geliştiriyor. Saldırı, hedef ortamda Azure’ın varlığını doğrulamakla başlıyor ve ardından şu adımları izliyor:
- Geçerli kiracı kimliklerini kontrol ederek Azure’ın varlığını onaylama.
- Çalışanların isim, rol ve e-posta adresleri gibi bilgiler toplayarak kimlik taklidi yapma.
- Çeşitli hizmetlerde (Outlook, Tutanota, Cloudflare, DocSend, Hunter.io, Pipedream) birden fazla hesap oluşturarak veri toplama ve ele geçirme operasyonlarını destekleme.
Pipedream platformu, saldırının otomasyonu için merkezi bir rol oynuyor:
- Kurbanın yetkilendirme kodunu alan webhook uç noktasıdır.
- Microsoft API’si üzerinden hemen kodu bir yenileme token’i ile değiştiren otomasyon motorudur.
- Elde edilen token’ları gerçek zamanlı olarak erişilebilir hale getiren merkezi toplayıcıdır.
Etkilenen Sistemler
Saldırı, Microsoft Azure platformunu hedef alarak öne çıkıyor. Özellikle, kurbanları Microsoft/Azure arayüzünü taklit eden sahte sayfalara yönlendiren phishing (oltalama) saldırıları gerçekleştiriliyor. Kurbanlar, yerel bir URL’ye yönlendirilip, bir OAuth yetkilendirme kodunu yapıştırmaya zorlanıyor.
Çözüm ve Korunma
ConsentFix v3‘ün risklerini azaltmak için yöneticilerin alabileceği bazı önlemler şunlardır:
- Token bağlama kullanarak güvenilir cihazlara sınırlama getirmek
- Davranışsal tespit kuralları uygulamak
- Uygulama kimlik doğrulama sınırlamaları koymak
Ayrıca, Microsoft‘un paylaşılan izinleri ve yenileme token’larını yöneten uygulama grubu olan Family of Client IDs (FOCI) ile ilgili bilgi edinmek de önemlidir.
Sonuç
Siz de kurumsal ortamınızdaki Microsoft Azure hesaplarının güvenliğini artırmak için derhal güncellemeler uygulamalı, yetkilendirme ayarlarını gözden geçirmeli ve potansiyel tehditlerle ilgili farkındalık oluşturmalısınız. Port kapatma ve güvenlik duvarı ayarlarını güncelleyerek ekstra koruma sağlamak da önem taşıyor.
