Son on yılda şirketlerin dijital altyapılarını kendi sunucularından bulut sistemlerine taşımasıyla birlikte, Microsoft gibi büyük bulut sağlayıcılarının sunduğu standart ve yerleşik güvenlik özelliklerinden faydalanıldı. Ancak, bu sistemlere bu denli bağımlı hale gelmişken, olası bir aksilik durumunda ortaya çıkabilecek sonuçlar oldukça yıkıcı olabilir. Bu duruma örnek olarak, güvenlik araştırmacısı Dirk-jan Mollema'nın Microsoft Azure'un kimlik ve erişim yönetimi platformunda keşfettiği ve tüm Azure müşteri hesaplarının potansiyel olarak felaket düzeyinde ele geçirilmesine yol açabilecek iki kritik zafiyet gösterilebilir.
Entra ID olarak bilinen sistem, her Azure bulut müşterisinin kullanıcı kimliklerini, oturum açma erişim kontrollerini, uygulamalarını ve abonelik yönetimi araçlarını barındırır. Mollema, daha önce Azure Active Directory olarak bilinen Entra ID'nin güvenliği üzerine derinlemesine çalışmalar yapmış ve sistemdeki zafiyetler hakkında birçok araştırma yayımlamıştır. Ancak, Temmuz ayında Las Vegas'ta düzenlenecek olan Black Hat güvenlik konferansında bir sunum hazırlığı sırasında Mollema, "tanrı modu" olarak nitelendirilebilecek küresel yönetici ayrıcalıklarını elde etmeye ve her Entra ID dizinini veya "tenant"ı (kiracı) tehlikeye atmaya olanak tanıyacak iki zafiyet keşfetti. Mollema'ya göre bu durum, belki de hükümet bulut altyapıları hariç, dünyadaki neredeyse tüm Entra ID tenant'larını riske atabilirdi.
Hollandalı siber güvenlik şirketi Outsider Security'nin kurucusu ve bulut güvenliği uzmanı Mollema, "Sadece ekrana bakıyordum. 'Hayır, bu gerçekten olmamalı' diyordum," şeklinde konuştu. "Oldukça kötüydü. Olabileceği kadar kötüydü diyebilirim."
Mollema, "Kendi tenant'larımdan - test tenant'ım veya bir deneme tenant'ımdan bile - bu token'ları talep edebiliyordum ve başka birinin tenant'ındaki herhangi birini taklit edebiliyordum," diye ekledi. "Bu da, diğer kişilerin yapılandırmalarını değiştirebileceğim, o tenant'ta yeni yönetici kullanıcılar oluşturabileceğim ve istediğim her şeyi yapabileceğim anlamına geliyordu."
Zafiyetin ciddiyeti göz önüne alındığında, Mollema bulgularını keşfettiği gün olan 14 Temmuz'da Microsoft Güvenlik Yanıt Merkezi'ne bildirdi. Microsoft aynı gün bulguları araştırmaya başladı ve 17 Temmuz'da dünya çapında bir düzeltme yayınladı. Şirket, 23 Temmuz'da sorunun giderildiğini ve Ağustos ayında ek önlemler alındığını Mollema'ya doğruladı. Microsoft, 4 Eylül'de zafiyet için bir CVE (Ortak Güvenlik Açığı ve Açıklık Bilgileri) yayınladı.
Microsoft'un Güvenlik Yanıt Merkezi mühendislik başkan yardımcısı Tom Gallagher, "Yeni tespit edilen sorunu hızla hafiflettik ve "Güvenli Gelecek Girişimi"mizin bir parçası olarak bu eski protokol kullanımını kullanımdan kaldırma çalışmalarımızı hızlandırdık," dedi. "Zafiyetli doğrulama mantığına bir kod değişikliği uyguladık, düzeltmeyi test ettik ve bulut ekosistemimize uyguladık."
Gallagher, Microsoft'un soruşturması sırasında zafiyetin "kötüye kullanıldığına dair hiçbir kanıt" bulmadığını belirtti.
Her iki zafiyet de Entra ID içinde hala işlevsel olan eski sistemlerle ilgilidir. Birincisi, Mollema'nın "Actor Tokens" olarak adlandırdığı ve "Access Control Service" adlı belirsiz bir Azure mekanizması tarafından verilen bir tür Azure kimlik doğrulama token'ını içerir. Actor Token'lar, Mollema'nın bir saldırgan için başka bir zafiyetle birleştirildiğinde faydalı olabileceğini fark ettiği özel sistem özelliklerine sahiptir. Diğer hata ise, Microsoft 365'te depolanan verilere erişimi kolaylaştırmak için kullanılan "Graph" adlı eski bir Azure Active Directory uygulama programlama arayüzündeki büyük bir kusurdu. Microsoft, Azure Active Directory Graph'ı kullanımdan kaldırma ve kullanıcıları Entra ID için tasarlanmış halefi Microsoft Graph'a geçirme sürecindedir. Hata, Azure AD Graph'ın hangi Azure tenant'ının bir erişim isteği yaptığını doğru şekilde doğrulayamamasıyla ilgiliydi, bu da API'nin reddedilmesi gereken farklı bir tenant'tan bir Actor Token'ı kabul etmesine neden olabilirdi.
Güvenlik firması Zenity'nin CTO'su Michael Bargury, "Microsoft, koşullu erişim ve günlükler gibi kimlik etrafında güvenlik kontrolleri oluşturdu, ancak bu dahili izlenim token mekanizması bunların hepsini bypass ediyor," dedi. "Bu, bir kimlik sağlayıcısında bulunabilecek en etkili zafiyettir ve etkin bir şekilde herhangi bir müşterinin herhangi bir tenant'ının tam olarak ele geçirilmesine izin verir."
Zafiyet kötü niyetli hacker'ların eline geçmiş olsaydı, sonuçları yıkıcı olabilirdi.
Bargury, "Etkisinin ne olabileceğini tahmin etmemize gerek yok; iki yıl önce Storm-0558 bir imzalama anahtarını tehlikeye attığında, herhangi bir tenant'taki herhangi bir kullanıcı olarak oturum açmalarına izin verildiğinde ne olduğunu gördük," dedi.
Spesifik teknik detaylar farklı olsa da, Microsoft Temmuz 2023'te, Çinli siber casusluk grubu Storm-0558'in, kimlik doğrulama token'ları oluşturmalarına ve ABD hükümet departmanlarına ait olanlar da dahil olmak üzere bulut tabanlı Outlook e-posta sistemlerine erişmelerine olanak tanıyan şifreleme anahtarını çaldırdığını açıklamıştı.
Aylarca süren bir çalışma sonucunda, Storm-0558 saldırısıyla ilgili bir Microsoft incelemesi, Çinli grubun bulut savunmalarını aşmasına yol açan bir dizi hatayı ortaya çıkardı. Bu güvenlik olayı, o dönemdeki bir dizi Microsoft sorununun ardından şirketi, bulut güvenliği sistemleri için korumaları genişleten ve zafiyet bildirimlerine yanıt verme ve yamalar yayınlama konusunda daha agresif hedefler belirleyen "Güvenli Gelecek Girişimi"ni başlatmaya teşvik etti.
Mollema, Microsoft'un bulguları konusunda son derece duyarlı olduğunu ve aciliyetlerini anladıklarını söyledi. Ancak, bulgularının kötü niyetli hacker'ların 2023'teki olaydan daha ileri gidebilmesine olanak tanıyabileceğini vurguladı.
Mollema, "Zafiyetle, sadece tenant'taki en üst düzey yönetici olarak kendinizi ekleyebiliyordunuz, böylece tam erişime sahip oluyordunuz," dedi. "Entra ID ile oturum açtığınız herhangi bir Microsoft hizmeti, ister Azure, ister SharePoint, ister Exchange olsun, bu yolla tehlikeye atılabilirdi."
