Saldırı ve Önemi
Kullanıcı hesaplarına yönelik devam eden büyük ölçekli bir otomatik parola püskürtme saldırısı, Microsoft’un Azure komut satırı arayüzünü hedef alıyor. Bu saldırı, birçok organizasyonun hesaplarını tehlikeye atarak siber güvenlik risklerini artırmaktadır.
Saldırı Nasıl Çalışıyor?
Söz konusu saldırı, Huntress tarafından bildirilen bilgilere göre, 2a0a:d683::/32 IPv6 adres aralığından gelmektedir ve LSHIY LLC (AS32167) tarafından kontrol edilmektedir. Saldırgan, 12 Haziran – 26 Haziran 2026 tarihleri arasında 81 milyonun üzerinde giriş denemesi yaparak, 64 farklı organizasyonda en az 78 Microsoft hesabını ele geçirmiştir. Saldırının hedefi, yalnızca çok sayıda kullanılmakta olan şifrelerin olduğu bir listeye dayanarak belirlenmiştir.
Saldırının dikkat çekici tarafı, birçok etkilenen organizasyonun Koşullu Erişim politikaları (CAP) olmasına rağmen, saldırganların bu politikaları aşabilmiş olmalarıdır. Bu saldırıda, eski bir OAuth akışı olan Resource Owner Password Credentials (ROPC) kullanılarak CAP korumalarının baypas edildiği tespit edilmiştir.
Etkilenen Sistemler
Microsoft tarafından önerilen ROPC , çok faktörlü kimlik doğrulama (MFA) ile uyumsuz olarak kabul edilmektedir. Microsoft, bu akışın kullanılmasını önermekte ve şu ifadeleri kullanmaktadır: “Çoğu senaryoda, daha güvenli alternatifler mevcuttur ve tavsiye edilmektedir.” Saldırganlar, bu yöntemi kullanarak MFA uygulamaları ile korunan organizasyonları hedef almayı başarmıştır.
Çözüm ve Korunma
Huntress’in araştırmalarına göre saldırı, 12-21 Haziran 2026 tarihleri arasında günde ortalama 2-4 hesabın ele geçirilmesiyle devam etmiştir. 19 Haziran’da ise toplam 12 kullanıcı hesabı ele geçirilmiştir. 22 Haziran itibarıyla ise etkilenen hesap sayısı 30 ‘a çıkmıştır. Saldırıyı önlemek için aşağıdaki önlemler alınmalıdır:
- Tüm Kullanıcılar için MFA talep edin.
- Tüm Cloud Uygulamaları için MFA talep edin.
- Tüm İstemci Uygulama türleri için MFA talep edin.
- Azure CLI uygulamasını, yalnızca yönetici kullanıcılar için kısıtlayın.
Ayrıca, MFA’nın sadece belirli uygulamalar veya kullanıcı grupları için zorunlu kılınması durumunda, Azure CLI logolarının kapsam dışında kalabileceğini unutmayın. Huntress, kampanyadan etkilenen sekiz işletmenin hiç MFA politikası olmadığını belirtmiştir.
Bu saldırı, yapılandırılmamış Koşullu Erişim politikalarının potansiyel zayıflıklarını açığa çıkarmaktadır. Sonuç olarak, organizasyonların MFA politikalarının doğru şekilde yapılandırılması ve ROPC gibi eski protokollerin kullanılmaması büyük önem taşımaktadır.
Aksiyon: Ne Yapmalısınız?
Organizasyonların, yukarıda belirtilen önlemleri alarak MFA uygulamalarını güçlendirmesi ve kurulumlarını kontrol etmesi gerekmektedir. Ayrıca, eski şifrelerin değiştirilmesi ve güvenlik protokollerinin gözden geçirilmesi şarttır. Gerekli güncellemeleri ve düzenlemeleri yaparak siber güvenlik risklerinizi azaltabilirsiniz.


