Evet, Microsoft Azure kullanıcıları, hazırlanın. Çünkü en son parlayan exploit, sizi şüpheli bir ek indiretmeye veya sahte bir faturaya tıklatmaya yönelik değil. Hayır, ConsentFix v3 çok daha sinsi. Şifreler olmadan ve sizi koruduğunu sandığınız o şık çok faktörlü kimlik doğrulama olsa bile bulut hesaplarınızı otomatik olarak ele geçirmekle ilgili.
Bu teorik bir egzersiz değil. Gerçekleşiyor. Hacker’lar şimdiden internetin karanlık köşelerinde bu yöntemi satıyor. Ve her biri biraz daha cilalı, biraz daha tespit edilmesi zor olan önceki sürümlerin üzerine inşa edilmiş.
OAuth‘ın Kaygan Zemini
Bakın, OAuth iyi bir şey olmalı. Uygulamaların gerçek giriş bilgilerinizi onlara vermeden verilerinize erişmesine izin verir. Dijital yaşamınız için bir vale anahtarı gibi düşünün. Ama her iyi araç gibi, silah olarak da kullanılabilir. ConsentFix v3 tam olarak bunu yapıyor. Kullanıcıları kandırarak kontrolü devretmelerini sağlamak için izin verme sürecinin standart bir el sıkışması olan OAuth 2.0 yetkilendirme kodu akışını istismar ediyor.
Push Security tarafından detaylandırılan süreç, keşifle başlıyor. Saldırganlar Azure’ın işin içinde olduğunu doğruluyor, ardından çalışan bilgilerini topluyor. İsimler, roller, e-postalar – hepsi kimliğe bürünme ve ikna edici kimlik avı tuzakları hazırlamak için mühimmat. Ardından, tüm bu karmaşayı yönetmek için Outlook, Tutanota ve hatta sunucusuz entegrasyon platformu Pipedream gibi hizmetlerde bir hesaplar takımyıldızı kuruyorlar.
Pipedream, kilit nokta burası, merkezi sinir sistemi görevi görüyor. Çalınan yetkilendirme kodunu alıyor, onu bir yenileme jetonu (hesabınıza giden altın bilet) ile değiştiriyor ve ardından saldırganın kullanımına sunuyor. Hepsi otomatik. Onların çarpık bakış açılarından bakıldığında, hepsi çok verimli.
Ardından sosyal mühendislik geliyor. Gerçek Microsoft/Azure giriş ekranı gibi görünen bir kimlik avı sayfası açılıyor. Kurban, umarız zaten kişiselleştirilmiş bir e-posta ve DocSend’de barındırılan bir PDF’ye giden bir bağlantıyla (bilirsiniz, güvenilirlik için) yumuşatılmıştır, bir OAuth akışını başlatması isteniyor. Bu, onları değerli yetkilendirme kodunu içeren bir yerel ana makine URL’sine yönlendirir.
Ve işte burası gerçekten zekice ve korkutucu hale geliyor. Kurban daha sonra o yerel ana makine URL’sini kimlik avı sayfasına geri yapıştırmaya kandırılır. Basit bir kopyala-yapıştır. Veya v2’de, sürükle-bırak. Kullanıcının farkında olmadan anahtarları teslim ettiği absürt bir tiyatro.
Kimlik avı e-postaları, toplanan verilerden oluşturulmuş ve güvenilirliği artırmak ve spam filtrelerini atlatmak için DocSend’de barındırılan bir PDF içindeki kötü amaçlı bağlantıları içeren, yüksek derecede kişiselleştirilmiş olabilir.
Kod saldırganın eline geri döndüğünde, jetonlarla değiştirilir. Bu jetonlar Microsoft ortamınıza erişim sağlar – e-postalarınız, dosyalarınız, hesabınızın görmesine izin verilen her şey. Dikkatlice inşa ettiğiniz tüm kilitleri atlayan dijital bir anahtar gibi.
Neden ClickFix’ten Farklı?
ConsentFix v3 sadece başka bir kimlik avı girişimi değil. Mevcut bir zafiyetin otomasyonu. Orijinal ConsentFix (v1) daha manueldi ve kullanıcıların kopyalayıp yapıştırmasına dayanıyordu. ConsentFix v2 bunu yumuşattı. Ancak v3, düğmeyi on bire çeviriyor. Yetkilendirme kodunun yenileme jetonlarıyla değişimini otomatikleştirmek için Pipedream gibi platformları kullanıyor. Bu, saldırganların operasyonlarını önemli ölçüde ölçekleyebileceği anlamına geliyor. Tek seferde bir kullanıcıyı hedeflemek yerine, potansiyel olarak bunu birden çok kişiye karşı otomatikleştirebilirler, bu da erişimlerini ve etkilerini büyük ölçüde artırır. Manuel manipülasyondan otomatik istismara geçiş, v3’ün tanımlayıcı ve en tehlikeli özelliğidir.
Güven Paradoksu
İşte asıl bomba. Bu saldırı Microsoft’un kendi “birinci taraf” uygulamalarını istismar ediyor. Bunlar Microsoft’un kendisinin kullandığı ve güvendiği uygulamalardır. Azure içinde önceden onaylanmışlardır. Bu, saldırganların bilinmeyen, kötü amaçlı bir uygulamayı gizlice sokmaya çalışmadığı anlamına gelir. Sistemin kendi doğasında var olan güveni kendi aleyhine kullanıyorlar. Bu, kötü adamın kilidi açmak yerine binanın ana anahtarını kullanması gibi. Bu, istekler genellikle meşru göründüğü için yöneticiler için tespiti inanılmaz derecede zorlaştırıyor. Güven, istismar edildiğinde güçlü bir silahtır.
Gerçekten Ne Yapabilirsiniz?
Microsoft yöneticileri tamamen çaresiz değil, ancak kolay olmayacak. Jetonların yalnızca belirli donanımlardan kullanılmasını sağlayan, güvenilir cihazlara jeton bağlama uygulayabilirler. Davranışsal tespit kuralları şüpheli etkinlikleri işaretleyebilir. Uygulama kimlik doğrulama kısıtlamaları, hangi uygulamaların kaynaklara erişmesine izin verildiğini sınırlayabilir.
Ortalama kullanıcı için, bu aşırı dikkatli olmaya indirgenir. Ne kadar meşru görünürse görünsün, her bağlantıyı, her yetkilendirme isteğini sorgulayın. Bir şey ters geliyorsa, muhtemelen öyledir. Kendisi Microsoft’tan geliyormuş gibi görünse bile.
Şimdi asıl soru, bu v3 varyantını kaç siber suçlunun gerçekten benimsediği. Dolaşımda evet. Ama yaygın benimseme, onun tehdidinin bir sonraki adımı olacak. Bekleyip görmemiz gerekecek.
🧬 İlgili İçgörüler
- Daha fazlasını okuyun: FBI Siber Dolandırıcılıkta 17,7 Milyar Doları Kaydetti: Kripto Kralları, Yapay Zeka Deepfake’leri ve Cüzdanınızın Kabusu
- Daha fazlasını okuyun: DarkSword: Yasal Web Sitelerinde Gizlenen iPhone Katili
Sıkça Sorulan Sorular
ConsentFix v3 nedir? ConsentFix v3, parola gerektirmeden, hatta MFA etkin olsa bile kullanıcı hesaplarını ele geçirmek için Microsoft Azure’da OAuth 2.0 yetkilendirme akışlarını istismar eden otomatik bir saldırı tekniğidir.
ConsentFix v3 MFA’yı nasıl atlatır? Geleneksel anlamda MFA’yı doğrudan atlatmaz. Bunun yerine, OAuth yetkilendirme kodu akışını kullanır. Kullanıcılar, görünüşte meşru bir işlemle bir uygulamanın erişimine izin vermeye kandırılır ve bu da saldırganın kullanıcının gerçek giriş bilgileri veya MFA istemleri olmadan erişim jetonları almasına olanak tanır.
Azure hesabım risk altında mı? Kuruluşunuz Microsoft Azure ve ilgili hizmetlerini kullanıyorsa, potansiyel bir hedefsınız. Gerçek risk, ortamınızda bulunan belirli yapılandırmalara ve güvenlik önlemlerine bağlıdır. Tüm kullanıcılar için dikkatli olmak esastır.
