Microsoft Entra ID’deki Kritik Güvenlik Açığı
Son zamanlarda Microsoft Entra ID (eski adıyla Azure Active Directory) üzerinde keşfedilen bir güvenlik açığı, dünya genelindeki tüm şirketlerin hesaplarına tam erişim sağlayabilen kritik bir kombinasyonu ortaya çıkardı. Bu durum, özellikle veri güvenliği açısından son derece endişe verici bir tablo ortaya koymakta.
Güvenlik Açığının Kaynağı
Söz konusu güvenlik açığı, belgeyle kayıt altına alınmamış olan “actor token” adı verilen ve Azure AD Graph API üzerindeki bir zayıflıkla birleştiğinde ortaya çıktı. CVE-2025-55241 olarak adlandırılan bu zafiyet, hackerların herhangi bir kuruluşun Entra ID ortamıyla ilişkilendirilmiş verilerine kolayca erişmesini sağlıyordu. Bu tür bir zafiyetin kötü niyetli bir saldırgan tarafından istismar edilmesi durumunda, çok sayıda hassas veriye erişim mümkün olabilmekteydi. Üstelik yapılan işlemler, hedef çevredeki kayıt loglarında iz bırakmadan gerçekleştirilebiliyordu.
Microsoft Entra ID Nedir?
Microsoft Entra ID, kuruluşların tek oturum açma, çok faktörlü kimlik doğrulama ve uygulamalar ile kaynaklar üzerinde güvenlik denetimleri sağlamasına yardımcı olan bir kimlik ve erişim yönetimi (IAM) hizmetidir. Her bir Entra ID örneği, tek bir kuruluşu temsil eder ve kullanılmakta olan tüm uygulamalara, hem yerel hem de bulut tabanlı, güvenli erişim sağlar. Bu hizmet, özellikle Microsoft 365, Salesforce, Dropbox gibi özel ve üçüncü parti SaaS ürünlerini içerebilmektedir.
Actor Token’ın Tehlikesi
Güvenlik araştırmacısı Dirk-jan Mollema, bu zayıf noktanın nasıl işlendiğini açıklayan bir teknik blog yazısı kaleme aldı. Mollema, actor token‘ların, SharePoint uygulamaları ile kimlik doğrulama için kullanılan eski bir hizmet olan Access Control Service tarafından verildiğini belirtti. Bu token’ların imzasız olması, onun hangi kullanıcıyı temsil ederse etsin, herhangi bir kullanıcı gibi davranabilmesine olanak tanıyor. Mollema’nın belirttiğine göre, bu actor token‘larının güvenlik kontrolleri son derece zayıf. Zira bu token’lar verilirken log kayıtları tutulmamakta, ve 24 saat içinde iptal edilememektedir.
Saldırganın Eylem Süreci
Bir saldırganın bu zafiyetten yararlanarak gerçekleştirebileceği işlemler, birkaç adımda tamamlanabilir:
- Hedef Ortamın Tenant ID’sini Bulmak: Bu işlem, alan adı üzerinden erişilebilen kamu API’leri kullanılarak yapılabilir.
- Hedef Tenant’taki Geçerli Bir Kullanıcının netId’sini Bulmak: Bu aşama, saldırganın hedefteki kullanıcıları araştırmasını gerektirir.
- Impersonation Token Hazırlamak: Saldırgan, actor token‘ı kullanarak hedef tenant ID’si ve kullanıcı netId’si ile yeni bir token oluşturabilir.
- Global Admin’lerin Listesini Almak: Bu adımda, hedef tenant’taki Global Admin’lerin ve onların netId’lerinin listesi çıkarılabilir.
- Global Admin için Yeni Token Oluşturmak: Bu, kısa sürede tam erişime ulaşılmasını sağlar.
- Azure AD Graph API Üzerinde Okuma/Yazma Eylemleri Gerçekleştirmek: Bu son adımda, herhangi bir işlemi gerçekleştirmek ve potansiyel olarak veri çalmak mümkün hale gelir.
Microsoft’un Tepkisi
Mollema, bu tarihi bulguları Microsoft’a 14 Temmuz’da bildirdi ve şirket, durumu 9 gün içinde çözdüğünü duyurdu. 4 Eylül itibariyle, Microsoft, CVE-2025-55241 zafiyetine karşı yamanın yapıldığını açıkladı. Ancak dikkat edilmesi gereken önemli bir nokta, Microsoft’un Azure AD Graph API hizmetinin değersizleştirilmesi sürecine Eylül 2022 itibarıyla başlamış olmasıdır.
Sonuç
Bu tür güvenlik açıkları, organizasyonların veri güvenliklerini etkileyen ciddi problemler ortaya çıkarabilir. Microsoft Entra ID kullanıcılarının bu tür zafiyetlere karşı dikkatli olması ve gerekli güvenlik tedbirlerini alması büyük önem taşımaktadır. Ayrıca, actor token’ların kullanımı gibi sorunların çözüme kavuşturulması, gelecekteki güvenlik sorunlarının önlenmesi açısından kritik bir adımdır. Kuruluşların güvenlik prosedürlerini gözden geçirmeleri, bu tür zafiyetlere karşı hazırlıklı olmaları açısından önemlidir.
