ConsentFix ve ClickFix Saldırıları: Microsoft 365 Hesaplarının 3 Saniyede Ele Geçirilmesi

ConsentFix ve ClickFix saldırıları, sahte OAuth akışları ve MFA atlatma teknikleriyle Microsoft 365 hesaplarının 3 saniyede nasıl ele geçirildiğini açıklıyor. Bu makalede saldırı mekanizmaları ve savunma adımları detaylandırılmaktadır.

B
Bleeping Computer Tutorials
4 görüntülenme
ConsentFix ve ClickFix Saldırıları: Microsoft 365 Hesaplarının 3 Saniyede Ele Geçirilmesi

Giriş

Microsoft 365 hesapları, kurumsal verilerin merkezi konumunda yer alması nedeniyle siber saldırganların en sık hedeflediği sistemler arasında yer almaktadır. ConsentFix ve ClickFix olarak adlandırılan yeni saldırı teknikleri, çok faktörlü kimlik doğrulama (MFA) sistemlerini atlatabilmekte ve hesapları sadece 3 saniye içinde ele geçirebilmektedir. Bu saldırılar, OAuth 2.0 akışlarını manipüle ederek ve kullanıcıları sahte izin ekranlarına yönlendirerek gerçekleştirilmektedir.

Bu makalede, saldırıların teknik detayları, çalışma prensipleri ve savunma stratejileri detaylandırılacaktır. Saldırıların zorluk seviyesi intermediate olarak değerlendirilmektedir.

Saldırının Arka Planı: OAuth 2.0 ve MFA

Microsoft 365, OAuth 2.0 protokolünü kullanarak üçüncü taraf uygulamalara erişim izni vermektedir. Kullanıcılar, bir uygulama tarafından talep edilen erişim izinlerini onayladığında, bir erişim tokeni oluşturulur. Bu token, kullanıcının verilerine erişim sağlar. ConsentFix ve ClickFix saldırıları, bu izin verme sürecini manipüle ederek gerçekleşmektedir.

Saldırının Temel Mekanizması

Saldırganlar, aşağıdaki adımları izleyerek hesapları ele geçirmektedir:

  1. Sahte Uygulama Oluşturma: Saldırgan, kullanıcının güvenini kazanmak için meşru bir uygulama gibi görünen bir uygulama geliştirir. Bu uygulama, genellikle popüler bir hizmetin (örneğin, belge paylaşım aracı) taklit edilmesiyle oluşturulur.
  2. OAuth Akışının Başlatılması: Kullanıcı, saldırganın gönderdiği bir bağlantıya tıklar. Bu bağlantı, OAuth akışını başlatır ve kullanıcıyı Microsoft 365 kimlik doğrulama sayfasına yönlendirir.
  3. Sahte İzin Ekranı: Kullanıcı, OAuth akışında yer alan izin ekranında, saldırganın uygulamasının talep ettiği izinleri onaylamaya yönlendirilir. Bu izinler genellikle "belge okuma ve yazma", "e-posta gönderme" gibi meşru görünümlü izinlerdir. Ancak, saldırganın asıl amacı, kullanıcının MFA tokenini çalmaktır.
  4. Tokenin Çalınması: Kullanıcı izinleri onayladığında, saldırganın uygulamasına bir erişim tokeni gönderilir. Bu token, saldırgan tarafından kullanılarak kullanıcının Microsoft 365 hesabına erişim sağlanır. MFA sistemleri, bu tokenin geçerliliğini doğrulayamadığından, saldırı başarılı olur.

ClickFix Saldırısı: Hızlı Token Elde Etme

ClickFix saldırısı, kullanıcıların OAuth akışındaki onay butonuna otomatik olarak tıklayan bir JavaScript kodu kullanmaktadır. Bu kod, kullanıcının farkında olmadan izinleri onaylamasını sağlar. Saldırgan, kullanıcıyı sahte bir web sayfasına yönlendirir ve bu sayfada yer alan JavaScript kodu, onay butonuna tıklar. Böylece, token saldırganın eline geçer.

Saldırıların Etkileri

ConsentFix ve ClickFix saldırıları, aşağıdaki riskleri beraberinde getirmektedir:

  • Veri Sızıntısı: Saldırganlar, kullanıcının e-postalarına, belgelerine ve diğer hassas verilerine erişebilir.
  • Kimlik Avı (Phishing): Saldırganlar, kullanıcının hesabını kullanarak diğer kullanıcıları hedef alabilir.
  • İçeriden Tehdit: Kurumsal ağlara sızarak, saldırganlar daha geniş bir saldırı ağı oluşturabilir.
  • Yasal ve Finansal Riskler: Veri sızıntıları, kurumlar için yasal yaptırımlar ve finansal kayıplara yol açabilir.

Uyarı: Bu saldırılar, kullanıcıların dikkatsizliği ve bilinçsizliği üzerine kuruludur. Kullanıcıların, bilinmeyen kaynaklardan gelen bağlantılara tıklamaması ve izin ekranlarını dikkatlice incelemesi önemlidir.

Savunma Stratejileri

ConsentFix ve ClickFix saldırılarına karşı korunmak için aşağıdaki adımlar izlenmelidir:

1. Kullanıcı Farkındalığı ve Eğitimi

  1. Farkındalık Eğitimleri: Kullanıcılara, OAuth akışları ve izin ekranları hakkında eğitim verilmelidir. Sahte uygulamaların nasıl tanınacağı ve izinlerin nasıl inceleneceği konusunda bilgilendirme yapılmalıdır.
  2. Simülasyon Testleri: Kurumlar, kullanıcıları sahte OAuth akışlarına karşı test edebilir. Bu testler, kullanıcıların bilinçli kararlar almasını sağlar.

2. Teknolojik Kontroller

  1. Uygulama Denetimi: Microsoft 365'te, üçüncü taraf uygulamaların erişimini denetleyin. Bilinmeyen uygulamaların erişimini engelleyin.
  2. Gelişmiş MFA Politikaları: MFA sistemlerini güçlendirin. Numara Matching veya Token Binding gibi ek güvenlik katmanları ekleyin.
  3. OAuth Akışlarının İzlenmesi: Microsoft 365'te, OAuth akışlarını izleyin ve şüpheli aktiviteleri tespit edin. Microsoft Defender for Office 365 gibi araçlar kullanarak, saldırıları erken aşamada engelleyin.

3. Politikalar ve Yönergeler

  1. İzin Politikaları: Kurumlar, üçüncü taraf uygulamaların talep ettiği izinleri sınırlamalıdır. Gereksiz izinlerin verilmesi engellenmelidir.
  2. Erişim Kontrolleri: Kullanıcıların sadece gerekli olan uygulamalara erişimine izin verilmelidir. Least Privilege Principle (En Az Ayrıcalık İlkesi) uygulanmalıdır.

4. Acil Durum Planları

  1. İzleme ve Uyarılar: Microsoft 365'te, şüpheli aktiviteleri izleyin ve anında uyarılar alın. SIEM sistemleri kullanarak, saldırıları tespit edin.
  2. Token İptali: Bir saldırı tespit edildiğinde, kullanıcının tokenlerini hemen iptal edin. Microsoft Graph API kullanarak, tokenleri yönetin.
    POST https://graph.microsoft.com/v1.0/me/revokeSignInSessions
    Authorization: Bearer {access_token}
    

Microsoft 365'te OAuth Akışlarını Güvenlik Altına Alma

Microsoft 365'te OAuth akışlarını daha güvenli hale getirmek için aşağıdaki adımlar izlenebilir:

  1. Uygulama Onayı Politikaları: Microsoft 365 Admin Center'da, üçüncü taraf uygulamaların onaylanmasını zorunlu hale getirin. Admin consent workflow kullanarak, uygulamaların güvenilirliğini doğrulayın.
    https://admin.microsoft.com/AdminPortal/Home#/AzureADThirdPartyIntegration
  2. Kullanıcı Onayı Politikaları: Kullanıcıların, üçüncü taraf uygulamalara izin vermesini sınırlayın. User consent policies kullanarak, kullanıcıların sadece onaylanmış uygulamalara erişmesine izin verin.
    Set-MsolCompanySettings -UserConsentPolicy EnforceAllTenantApps
  3. Riskli Uygulamaların Engellenmesi: Microsoft 365'te, riskli uygulamaların otomatik olarak engellenmesini sağlayın. Microsoft Defender for Cloud Apps kullanarak, uygulamaları analiz edin ve riskli olanları engelleyin.
    https://security.microsoft.com/cloudapp-discovery

Sonuç

ConsentFix ve ClickFix saldırıları, Microsoft 365 hesaplarının ele geçirilmesinde kullanılan etkili ve hızlı yöntemlerdir. Bu saldırılara karşı korunmak için, kullanıcı farkındalığı, teknolojik kontroller ve politikaların birlikte uygulanması gerekmektedir. Kurumlar, OAuth akışlarını güvenlik altına alarak ve MFA sistemlerini güçlendirerek, bu saldırılara karşı dirençli hale gelebilir.

Unutulmamalıdır ki, siber güvenlikte en zayıf halka genellikle kullanıcıdır. Bu nedenle, kullanıcıların eğitimi ve bilinçlendirilmesi, saldırılara karşı en etkili savunma mekanizmasıdır.

Kaynaklar