Microsoft 365 Hesaplarına Yönelik 81 Milyon Giriş Denemesi: Siber Tehdit Alarmı!
Microsoft 365 platformunda gerçekleşen yoğun bir siber saldırı, 81 milyon giriş denemesi ile dikkat çekti. Uzmanlar, kullanıcıların güvenliğini tehdit eden bu durumu mercek altına aldı.
Son günlerde Microsoft 365 kullanıcılarını hedef alan büyük bir siber saldırı, sadece iki hafta içinde 81 milyondan fazla giriş denemesiyle dikkat çekti. Bu saldırı, siber suçluların, daha önceki veri ihlallerinde ele geçirilen geçerli kullanıcı adı ve şifre kombinasyonlarını kullanarak Microsoft'un Azure komut satırı arayüzü (CLI) üzerinden kimlik doğrulama yapmaya çalıştıkları bir kampanya olarak belirlendi.
Microsoft'un Azure CLI, bulut kaynaklarını yönetmek için kullanılan bir araçtır ve yöneticilerin sanal makineleri yönetmelerine, uygulamaları dağıtmalarına, veritabanlarını yönetmelerine ve bulut operasyonlarını otomatikleştirmelerine olanak tanır. Saldırganlar, geçerli bir kullanıcı adı ve şifre çifti bulduğunda, ROPC (Resource Owner Password Credentials) OAuth mekanizması aracılığıyla kimlik doğrulaması yaparak birçok ortamda çok faktörlü kimlik doğrulamasını (MFA) atlatmayı başardılar.
Siber güvenlik yönetimi üzerine çalışan Huntress şirketi, bu kampanyayı 12-26 Haziran tarihleri arasında müşterileri üzerinde gözlemledi ve 64 kuruluştan 78 Microsoft hesabının tehlikeye girdiğini doğruladı. Huntress, "Birçok etkilenen işletme, çok faktörlü kimlik doğrulaması (MFA) uygulamıştı, ancak MFA, saldırganların kullandığı bu belirli akış için yapılandırılmamıştı" açıklamasında bulundu.
ROPÇ mekanizmasının bazı sorunları olduğunu belirten Huntress, "ROPÇ, modern kimlik doğrulama akışlarını desteklemediği için problemli kabul ediliyor. Bu kampanyada gördüğümüz gibi, ROPÇ şifreyi doğrudan /token uç noktasına gönderiyor ve etkileşimli bir MFA istemi olmadan işlem yapıyor" dedi.
Huntress'in vurguladığı özel yapılandırma hataları arasında, bazı kuruluşların hiç MFA politikası olmaması da yer alıyor. Genel olarak, Huntress, parola spreyleme saldırılarında %155'ten fazla bir artış gözlemledi ve kuruluşların her ay ortalama 1,964 başarısız giriş denemesi yaşadığını bildirdi.
Son saldırının arkasında kimin olduğu henüz netlik kazanmadı, ancak Huntress, bu etkinliğin LSHIY LLC'ye ait bir IPv6 aralığından kaynaklandığını belirtti. Araştırmacılar, bulgularını LSHIY'nin kötüye kullanım raporlama portalı aracılığıyla bildirdiler, ancak raporları yayımlandığında henüz yanıt alamadılar.
Güvenlik ekipleri, başarılı saldırıların %54'ünü kaydediyor ve yalnızca %14'üne uyarı veriyor. Geri kalanları ise ortamda görünmeden geçiyor. Picus'un beyaz kitabı, ihlal ve saldırı simülasyonlarının SIEM ve EDR kurallarınızı nasıl test ettiğini gösteriyor, böylece tehditlerin tespit edilmeden kaymasını önlüyor.
Microsoft, Azure veri hırsızlığı saldırılarında kötüye kullanılan Microsoft Self-Service Password Reset mekanizması hakkında da uyarılarda bulundu. Ancak, Microsoft'un kritik Azure güvenlik açığı raporunu reddettiği ve CVE verilmediği bildirildi.
Yazar: Burak Arslan
Siber Güvenlik ve Donanım Uzmanı
Siber güvenlik, veri gizliliği ve donanım mimarileri alanında derinlemesine analizler yapan uzman.
Tüm yazılarını gör




