bencede
New member
Saldırganlar Microsoft'un siber güvenlik departmanına nasıl girdi? Çok faktörlü kimlik doğrulamanın olmaması ve standart bir şifre kullanılması nedeniyle Microsoft'un da artık bunu kabul etmesi gerekiyor.
Duyuru
Bağlam: Birkaç gün önce Microsoft, Rusya destekli Midnight Blizzard grubunun güvenlik yetkililerinin e-postalarına erişim sağladığını duyurdu. Nobelium olarak da bilinen suçlular, Kasım 2023'ün sonundan bu yana Microsoft'u hedef alıyor ve bu süre zarfında yöneticilerden veri çalmayı başardılar. Ana hedefleri: Grupları hakkında Microsoft'ta saklanan bilgileri çalmak.
Bu böyle yapılmaz
Peki bu, onca yer arasında siber güvenlik departmanında nasıl olabilir? Microsoft, diğer kuruluşları güvenlik altyapılarını iyileştirmeye teşvik edecek yaklaşımın ayrıntılarını şimdi yayınladı. Midnight Blizzard'ın şifre püskürtme kullandığı zaten biliniyordu. Saldırganlar sınırlı sayıda şifre kullanır, ancak bunlar en popüler olan veya kullanılması en muhtemel olanlardır. Başka bir deyişle: standart bir şifreyle başlayabilirsiniz.
Suçlular, denetleme ve proxy altyapısının arkasına saklanma yoluyla zamanında tespit edilmekten kaçınmayı başardılar. Ancak bu normalde yeterli olmamalıdır, çünkü Microsoft'un kendisi çok faktörlü kimlik doğrulamanın standart kullanımını desteklemektedir. Nobelium'un elindeki bir şifre yeterli olmamalı. Ancak şirketin kendisi artık bunun eski bir test kiracısı hesabında nasıl etkinleştirilmediğini açıklıyor. Ve bu sayede Midnight Blizzard ilk erişime sahip oldu.
Saldırganlar eski bir OAuth test uygulamasını kullanarak daha yüksek erişim hakları elde edebildiler ve kendi OAuth uygulamalarını ve erişimlerini oluşturabildiler. Uygun Exchange Online hakları verildiğinde, bunları diğer posta kutularından e-postalara erişmek için kullanabilirler.
Hiçbir zayıflık yoktu ve gerekli de değildi
Saldırının öğrenilmesi üzerine Microsoft, Midnight Blizzard'ın herhangi bir güvenlik açığından yararlanmadığını söyledi. Bunun yerine bir test sistemi hacklendi. Ancak Microsoft'un kendisinin hangi güvenlik önlemlerini uygulamadığı henüz bilinmiyordu. Aynı grubun HPE'ye yönelik kısa bir süre sonra ortaya çıkan saldırısının Microsoft tarafından fark edilip edilmediği belli değil; şirket yalnızca diğer ilgili tarafları bilgilendirdiğini iddia ediyor.
Microsoft, diğer kuruluşların kendilerini aynı yaklaşımdan korumalarına yardımcı olmak için aşağıdakileri önermektedir: Kötü amaçlı OAuth uygulamalarını tanımlayabilmeli ve parola püskürtme saldırılarına karşı savunma yapabilmelidirler. Bireysel adımlara ilişkin ayrıntılar Microsoft'un blog gönderisinde bulunabilir. Microsoft ayrıca faillerin bu tür saldırıları nasıl tespit edebileceklerini de açıklıyor.
(fo)
Haberin Sonu
Duyuru
Bağlam: Birkaç gün önce Microsoft, Rusya destekli Midnight Blizzard grubunun güvenlik yetkililerinin e-postalarına erişim sağladığını duyurdu. Nobelium olarak da bilinen suçlular, Kasım 2023'ün sonundan bu yana Microsoft'u hedef alıyor ve bu süre zarfında yöneticilerden veri çalmayı başardılar. Ana hedefleri: Grupları hakkında Microsoft'ta saklanan bilgileri çalmak.
Bu böyle yapılmaz
Peki bu, onca yer arasında siber güvenlik departmanında nasıl olabilir? Microsoft, diğer kuruluşları güvenlik altyapılarını iyileştirmeye teşvik edecek yaklaşımın ayrıntılarını şimdi yayınladı. Midnight Blizzard'ın şifre püskürtme kullandığı zaten biliniyordu. Saldırganlar sınırlı sayıda şifre kullanır, ancak bunlar en popüler olan veya kullanılması en muhtemel olanlardır. Başka bir deyişle: standart bir şifreyle başlayabilirsiniz.
Suçlular, denetleme ve proxy altyapısının arkasına saklanma yoluyla zamanında tespit edilmekten kaçınmayı başardılar. Ancak bu normalde yeterli olmamalıdır, çünkü Microsoft'un kendisi çok faktörlü kimlik doğrulamanın standart kullanımını desteklemektedir. Nobelium'un elindeki bir şifre yeterli olmamalı. Ancak şirketin kendisi artık bunun eski bir test kiracısı hesabında nasıl etkinleştirilmediğini açıklıyor. Ve bu sayede Midnight Blizzard ilk erişime sahip oldu.
Saldırganlar eski bir OAuth test uygulamasını kullanarak daha yüksek erişim hakları elde edebildiler ve kendi OAuth uygulamalarını ve erişimlerini oluşturabildiler. Uygun Exchange Online hakları verildiğinde, bunları diğer posta kutularından e-postalara erişmek için kullanabilirler.
Hiçbir zayıflık yoktu ve gerekli de değildi
Saldırının öğrenilmesi üzerine Microsoft, Midnight Blizzard'ın herhangi bir güvenlik açığından yararlanmadığını söyledi. Bunun yerine bir test sistemi hacklendi. Ancak Microsoft'un kendisinin hangi güvenlik önlemlerini uygulamadığı henüz bilinmiyordu. Aynı grubun HPE'ye yönelik kısa bir süre sonra ortaya çıkan saldırısının Microsoft tarafından fark edilip edilmediği belli değil; şirket yalnızca diğer ilgili tarafları bilgilendirdiğini iddia ediyor.
Microsoft, diğer kuruluşların kendilerini aynı yaklaşımdan korumalarına yardımcı olmak için aşağıdakileri önermektedir: Kötü amaçlı OAuth uygulamalarını tanımlayabilmeli ve parola püskürtme saldırılarına karşı savunma yapabilmelidirler. Bireysel adımlara ilişkin ayrıntılar Microsoft'un blog gönderisinde bulunabilir. Microsoft ayrıca faillerin bu tür saldırıları nasıl tespit edebileceklerini de açıklıyor.
(fo)
Haberin Sonu