Yeni Bir Tehdit: Cihaz Kodu Oltalama Saldırıları
Son dönemde, teknoloji, imalat ve finans sektörlerini hedef alan siber saldırılarda, OAuth 2.0 Cihaz Yetkilendirme akışını kötüye kullanarak Microsoft Entra hesaplarına erişim sağlamak amacıyla cihaz kodu oltalama ve sesli oltalama (vishing) yöntemleri kullanılmaktadır. Bu saldırılar, saldırganların geçerli kimlik doğrulama token’ları elde etmesini sağlamakta ve bu da onları daha önceki oltalama yöntemlerinden daha tehlikeli hale getirmektedir.
Saldırı Nasıl Çalışıyor?
Bu yeni oltalama yöntemi, tehdit aktörlerinin OAuth 2.0 cihaz yetkilendirme akışını kötüye kullanarak, kurumsal hesaplara erişim sağlamalarına olanak tanımaktadır. Saldırılar, artık saldırganların kontrolündeki altyapı gerektirmez; bunun yerine Microsoft‘un geçerli oturum açma formlarını ve standart cihaz kodu kimlik doğrulama iş akışlarını kullanırlar.
Cihaz kodu oltalama saldırısı, geçerli bir OAuth 2.0 cihaz yetkilendirme akışının kötüye kullanılmasıyla, kurbanın Microsoft Entra hesabı için kimlik doğrulama jetonları elde edilmesidir. Bu jetonlar, kullanıcının kaynaklarına ve bağlantılı SSO uygulamalarına (Microsoft 365, Salesforce, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian vb.) erişim sağlar.
OAuth 2.0 cihaz yetkilendirme akışı, kullanıcının erişim seçeneklerinin kısıtlı olduğu cihazlarla (IoT cihazları, yazıcılar, akış cihazları, televizyonlar vb.) oturum açmasını kolaylaştırmak için tasarlanmıştır. Microsoft, bu akışı desteklemektedir.
Etkilenen Sistemler
Bu saldırı yöntemi, hem kullanıcıların hem de organizasyonların güvenliğini tehdit ettiğinden, aşağıdaki sistemler etkilenebilir:
- Microsoft 365
- Okta
- Salesforce
- Google Workspace
- Dropbox
- Adobe
- SAP
- Slack
- Zendesk
- Atlassian
Çözüm ve Korunma
Microsoft 365 kullanıcıları, aşağıdaki adımları izleyerek kendilerini ve organizasyonlarını bu tür saldırılardan koruyabilirler:
- Şüpheli OAuth uygulamalarını denetleyin ve izinlerini iptal edin.
- Azure AD oturum açma günlüklerini kontrol edin ve cihaz kodu kimlik doğrulama olaylarını izleyin.
- Cihaz kodu akış seçeneğini gereksizse kapatın.
- Conditional Access politikalarını uygulayın ve gereksiz izinleri kısıtlayın.
- Kötü niyetli alan adlarını ve gönderici adreslerini engelleyin.
Uzmanlar, ayrıca OAuth uygulamalarının izinlerini düzenli olarak gözden geçirin ve güvenlik risklerini en aza indirmek için proaktif önlemler alınmasını öneriyor. Unutmayın, bu tür oltalama yöntemleri yeni değil; geçmişte de benzer yöntemler kullanılarak hesapların ihlaline tanık olduk.
Sonuç
İşletmelerin bu tür tehditlerden korunabilmesi için, teknik güncellemeleri ve güvenlik yamalarını düzenli olarak uygulamaları, şüpheli etkinlikleri izlemeleri ve kullanıcı eğitimlerini artırmaları gerekmektedir. Şu an için hem kullanıcı hem de yöneticiler, benzer saldırılara karşı dikkatli olmalı ve gerekli güvenlik önlemlerini almalıdır.
