Microsoft Entra ID’de FIDO kimlik doğrulamasını devre dışı bırakabilen yeni saldırı yöntemi keşfedildi
Proofpoint araştırmacıları, Microsoft Entra ID kullanıcılarını FIDO kimlik doğrulamasından daha zayıf yöntemlere yönlendiren yeni bir “downgrade” saldırısı geliştirdi. Bu yöntemle saldırganlar, AiTM (adversary-in-the-middle) tekniği üzerinden oturum çerezlerini ele geçirerek hesapları ele geçirebiliyor.
Siber güvenlik araştırmacıları, Microsoft Entra ID’de kullanılan FIDO tabanlı şifresiz kimlik doğrulamanın dolaylı olarak devre dışı bırakılabileceğini gösteren yeni bir saldırı tekniği ortaya koydu. Proofpoint tarafından geliştirilen yöntem, kullanıcıların FIDO desteği olmayan bir tarayıcı kullandıkları izlenimini vererek, onları daha zayıf doğrulama yöntemlerine yönlendiriyor.
Saldırının İşleyişi
Araştırmacılar, Evilginx adlı AiTM (adversary-in-the-middle) çerçevesine özel bir “phishlet” ekleyerek Safari’nin Windows sürümünü taklit eden bir kullanıcı aracısı oluşturdu. Bu tarayıcı FIDO tabanlı kimlik doğrulamasını desteklemediği için Microsoft Entra ID, kullanıcıya hata mesajı gösteriyor ve alternatif yöntemler (Microsoft Authenticator uygulaması, SMS kodu, OTP vb.) sunuyor.
Kullanıcı bu yöntemlerden biriyle giriş yaptığında, saldırı platformu hem kullanıcı adı/parolayı hem de çok faktörlü doğrulama (MFA) tokenini veya oturum çerezini ele geçiriyor. Bu çerez saldırganın tarayıcısına aktarıldığında, kurbanın hesabına tam erişim sağlanabiliyor.
Henüz Saldırılarda Görülmedi
Proofpoint, yöntemin şu ana kadar gerçek saldırılarda kullanılmadığını ancak özellikle yüksek değerli hedeflere yönelik operasyonlarda ciddi risk oluşturduğunu belirtti.
Microsoft, araştırma hakkında yaptığı açıklamada bunun bir ürün açığı olmadığını, sosyal mühendislik yoluyla gerçekleştirilen bir oltalama tekniği olduğunu vurguladı. Şirket, kullanıcıların kimlik doğrulama gücü politikalarıyla daha güçlü yöntemleri zorunlu hale getirmesini ve şüpheli bağlantılara tıklamaktan kaçınmasını önerdi.
Önlemler
Uzmanlar, kullanıcıların beklenmedik şekilde alternatif kimlik doğrulama seçenekleriyle karşılaşmaları halinde işlemi durdurmaları gerektiğini söylüyor. Ayrıca, fallback doğrulama yöntemlerinin kapatılması veya ek güvenlik kontrollerinin devreye alınması öneriliyor.
Geçtiğimiz ay farklı bir FIDO zayıflatma saldırısı da rapor edilmişti. Expel araştırmacıları tarafından geliştirilen “PoisonSeed” adlı yöntemde kullanıcılar sahte bir QR kod aracılığıyla kandırılmaya çalışılmış, ancak pratikte saldırı başarısız olmuştu.
Kaynak: CUMHA - CUMHUR HABER AJANSI
