OAuth Müşteri Kimliği Sahteciliği Tehditi
Son dönemde, siber saldırganlar bulut tabanlı ortamları hedef alan yeni bir taktik olarak OAuth müşteri kimliği sahteciliği uygulamaya başladılar. Bu yöntem, güvenlik izleme sistemlerini atlatırken, kullanıcı hesaplarını tanımlayıp çalıntı kimlik bilgilerini doğrulama olanağı sunuyor.
Saldırı Nasıl Çalışıyor?
Bu saldırılar, kullanıcıların Microsoft Entra ID ortamlarında hesaplarını tanımlamalarına ve çalıntı kimlik bilgilerini doğrulamalarına olanak tanıyor. Saldırganlar, OAuth müşteri kimliği adı verilen, uygulamalara kullanıcı verilerine erişim talep ederken atanan benzersiz bir tanımlayıcıyı kullanarak, başarılı bir oturum açma olayını oluşturmadıkları için savunuculara fark ettirmeden hareket edebiliyorlar.
Proofpoint’e göre, “Entra ID, sağlanan OAuth müşteri kimliğinin geçerli olup olmamasına bağlı olarak farklı hata yanıtları döndürmektedir. Saldırganlar bunu kullanarak, geçerli kullanıcı adlarını ve doğru şifreleri büyük ölçekte çıkarabiliyor, çalıntı kimlik bilgileri listelerini kontrol edebiliyorlar.”
Etkilenen Sistemler
Saldırıların Microsoft Entra ID ortamlarını hedef aldığı görülüyor. Özellikle, aşağıdaki saldırı grupları bu yöntemi kullanıyor:
- UNK_CustomCloak: Kullanıcı ajanı dizelerini sahteleyerek, 4,000’ün üzerinde kiracıyı hedef alan kaba kuvvet kampanyaları düzenliyor.
- UNK_pyreq2323: 700,000’den fazla sahte müşteri kimliği kullanarak 1 milyonun üzerinde kullanıcıyı hedef aldı.
- UNK_OutFlareAZ: 2 milyon kullanıcıyı hedef alarak 3.7 milyon rasgele sahte uygulama kimliği kullandı.
Çözüm ve Korunma
Saldırganlar, geçersiz bir müşteri kimliği kullanarak geçerli hesapları ve parolaları tanımlamak için hata yanıtlarını analiz edebiliyor. Bu durum, Defender’ların şüpheli etkinlikleri tanımasını zorlaştırıyor. Bu noktada, organizasyonların aşağıdaki önlemleri alması önerilmektedir:
- Güvenlik duvarı ayarlarını gözden geçirmek ve gerekli portları kapatmak.
- Oturum açma kayıtlarının düzenli olarak izlenmesi.
- Şifre politikasını güçlendirmek ve çok faktörlü kimlik doğrulamayı aktif hale getirmek.
- Uygulama bazında erişim kontrol politikaları uygulamak.
Bu önlemler, sahte müşteri kimliği kullanarak gerçekleştirilen saldırıların etkisini azaltabilir.
Sonuç
Saldırıların giderek yaygınlaşması karşısında, organizasyonların derhal adım atması gerekiyor. Entra ID kayıtlarını düzenli olarak inceleyin, kimlik doğrulama yöntemlerinizi güncelleyerek çok faktörlü doğrulamayı uygulayın ve gerekirse güvenlik açıklarını kapatmak için uzmanlarla iletişime geçin. Gebelikte yatmak yerine, proaktif bir yaklaşım benimseyin.


