Sorun Tanımı
Son dönemde, OAuth 2.0 Cihaz Yetkilendirme (Device Authorization Grant) akışını kötüye kullanan kimlik avı saldırılarında 37 katlık bir artış gözlemlenmiştir. Bu saldırı türü, kullanıcıları meşru bir cihaz aktivasyon süreci gibi görünen sahte bir sayfaya yönlendirerek, saldırganların kurbanın hesabına erişim jetonu (access token) almasını sağlar. Geleneksel kimlik avı yöntemlerinden farklı olarak, bu saldırı doğrudan kullanıcıdan parola istemez, bunun yerine cihaz eşleştirme kodunu çalar.
Saldırı Mekanizması
Saldırganlar, kullanıcılara "cihazınızı doğrulayın" veya "oturum açma işlemini tamamlayın" şeklinde sahte bildirimler gönderir. Kullanıcı kodu girdiğinde, saldırgan meşru hizmetten aldığı yetkilendirme jetonunu ele geçirir ve hesabın kontrolünü devralır.
Çözüm Adımları
- Kullanıcı Eğitimi: Personelinizi, cihaz aktivasyon kodlarını asla bilinmeyen kaynaklarla paylaşmamaları konusunda uyarın.
- Koşullu Erişim Politikaları: Microsoft Entra ID veya benzeri kimlik sağlayıcılarında, cihaz kod akışını kısıtlayın veya sadece yönetilen cihazlara izin verin.
- Risk Tabanlı Kimlik Doğrulama: Multi-Factor Authentication (MFA) kullanımını zorunlu tutun ve riskli oturum açma girişimlerini otomatik olarak engelleyin.
- İzleme ve Log Analizi: OAuth uygulama izinlerini düzenli olarak denetleyin.
İzleme Komutları (PowerShell)
Microsoft Graph kullanarak OAuth uygulama izinlerini listelemek için aşağıdaki komutları kullanabilirsiniz:
Connect-MgGraph -Scopes "Application.Read.All"
Get-MgServicePrincipal -Filter "AppId eq 'UYGULAMA_ID'" | Select-Object DisplayName, AppIdUyarı: Cihaz kodu akışı, özellikle akıllı TV'ler veya IoT cihazları gibi tarayıcısı olmayan cihazlar için tasarlanmıştır. Bu akışı gereksiz yere web tabanlı uygulamalarda etkin bırakmayın.
Özet
Bu saldırı türü, kullanıcıların "güvenli" olduğuna inandığı meşru OAuth akışlarını manipüle ettiği için oldukça tehlikelidir. Kuruluşlar, sadece parola güvenliğine değil, aynı zamanda cihaz yetkilendirme süreçlerinin denetimine de odaklanmalıdır.
