Microsoft Entra ID Güvenlik Açığı ve Riskleri
Günümüzde, bulut tabanlı hizmetlerin artmasıyla birlikte, güvenlik açıkları konusu her zamankinden daha önemli hale gelmiştir. Microsoft’un Entra ID sistemindeki bir güvenlik açığı, saldırganların belirli SaaS (Software as a Service) uygulamalarını hedef almasına olanak tanıyabilir. Semperis isimli kimlik güvenliği şirketinin yaptığı bir araştırma, bu açığın daha önce bilinmesine rağmen kötü niyetli aktörler için hala bir tehdit oluşturduğunu ortaya koymuştur.
nOAuth Açığı Nedir?
Bu güvenlik açığı, Entra ID’nin OpenID Connect (OIDC) uygulamasındaki zayıflıklarla ilgilidir. OIDC, OAuth’un üzerine inşa edilmiş bir kimlik doğrulama katmanıdır. nOAuth, kullanıcı kimliğini doğrulamak için uygulamaların OIDC’yi nasıl uyguladığını etkileyen bir zayıflıktır. Semperis’in bulgularına göre, 104 SaaS uygulamasından dokuzu bu açık nedeniyle savunmasız durumda. Özellikle bu zayıflık, kötü niyetli birinin, bir kurbanın Entra ID hesabındaki e-posta alanını değiştirmesine ve uygulamanın “Microsoft ile giriş yap” özelliğini kullanarak o hesabı ele geçirmesine olanak tanıyor.
Saldırı Yöntemi ve Sonuçları
Bu saldırı oldukça kolaydır ve Entra ID, kullanıcıların doğrulanmamış e-posta adresleri kullanmasına izin verdiği için, kullanıcı taklidi yapılmasına kapı aralamaktadır. Kötü niyetli aktörler, birden fazla kimlik sağlayıcısı (örneğin, Google, Facebook veya Microsoft) kullanan bir uygulamanın, hedef kullanıcı hesabına bir saldırganın girmesine olanak tanıyacak şekilde yapılandırılmasını istismar edebilir. Çünkü sistem, kullanıcıları benzersiz bir şekilde tanımlamak için yalnızca e-posta adresini kullanmaktadır.
Semperis’in tehdit modeli, nOAuth’un bir varyantına odaklanmaktadır. Bu model, Entra ID’nin farklı tenant yapılandırmalarında geçiş yapan uygulamaları bulmaktadır. Kısacası, hem saldırganın hem de kurbanın ayrı Entra ID tenantları bulunmaktadır. Semperis’in Kıdemli Kimlik Mimarı Eric Woodruff, "nOAuth suistimali, birçok kuruluşun maruz kalabileceği ciddi bir tehdittir" demiştir. Bunun yanı sıra, bu tür bir saldırının gerçekleştirilmesi durumunda saldırgan, yalnızca SaaS uygulama verilerine erişmekle kalmayacak, aynı zamanda Microsoft 365 kaynaklarına da girebilir.
Microsoft’un Tepkisi ve Önlemler
Semperis, bulgularını Aralık 2024’te Microsoft’a rapor etmiştir. Microsoft, nOAuth’un kamuya duyurulmasının ardından 2023 yılında verdiği önerileri yineleyerek, bu açıklığı kapatmaya yönelik önerilerde bulunmuştur. Microsoft ayrıca, bu kurallara uymayan uygulamaların Entra App Gallery’den kaldırılabileceği konusunda uyarmıştır. Özellikle, OIDC’de bir son kullanıcının benzersiz olarak tanımlanması için "sub" (konu) iddia dışındaki herhangi bir iddianın kullanılmasının uyumsuz olduğunu vurgulamıştır.
Geliştiricilerin Rolü
Amaç, nOAuth’un etkisini minimize etmek ise, bu durum tamamen geliştiricilerin sorumluluğundadır. Geliştiriciler, kullanıcıların kimliklerini doğrulamak için eşsiz ve değiştirilemez bir kullanıcı tanımlayıcısı oluşturmalıdır. Bu tür bir zafiyetin araştırılması ve giderilmesi, kullanıcıların güvenliğini sağlamak adına büyük bir öneme sahiptir.
Kubernetes Ortamlarındaki Diğer Güvenlik Açıkları
GNU/Linux tabanlı Kubernetes ortamları da benzer tehditler barındırmaktadır. Trend Micro, yanlış yapılandırılmış veya fazla yetkilendirilmiş konteynerlerin Amazon Web Services (AWS) kimlik bilgilerine erişimi kolaylaştırabileceğini ortaya koymuştur. Saldırganlar, şifrelenmemiş HTTP trafiğindeki paket dinleme gibi yöntemlerle bu kimlik bilgilerine ulaşabilir. Jiri Gogela, bu tür zayıflıkların, AWS kaynaklarına erişimi basit hale getiren Amazon EKS Pod Kimliği kullanılırken kritik güvenlik hususlarına dikkat edilmesi gerektiğini belirtmiştir.
Sonuç Önlemleri
Geliştiricilerin, uygulamalarda gerekli önlemleri alması ve daha sağlam güvenlik yapıları kurması oldukça önemlidir. Kullanıcıların güvenliği, yalnızca yazılım geliştiricilerin değil, aynı zamanda tüm organizasyonların sorumluluğundadır. Bu tür güvenlik zaaflarını en aza indirmek, yalnızca doğru teknik uygulamalarla değil, aynı zamanda kullanıcıların bilinçlendirilmesiyle de mümkündür. Bu konuda atılan her adım, dijital dünyada daha güvenli bir geleceğin inşasında önemli bir rol oynayacaktır.
