Last updated
Azure Uygulamaları, kullanıcı verilerine erişim izni istemektedir (temel bilgilerin yanı sıra belgelere erişim, e-posta gönderme...).
İzin verildiğinde, normal bir kullanıcı sadece "Düşük Etki" izinleri için onay verebilir. Diğer tüm durumlarda, yönetici onayı gereklidir.
GA, ApplicationAdministrator, CloudApplication Administrator ve uygulamalara izin verme izni verme içeren özel bir rol, kiracı genelinde onay verebilir.
Yalnızca yönetici onayı gerektirmeyen izinler "düşük etki" olarak sınıflandırılır. Bunlar, temel oturum açma için gerekli izinler olan openid, profile, email, User.Read ve offline_access izinleridir. Bir kuruluş, tüm uygulamalar için kullanıcı onayına izin verirse, bir çalışan bir uygulamaya profilinden yukarıdakileri okuma izni verebilir.
Bu nedenle, bir saldırgan zararlı bir Uygulama hazırlayabilir ve bir balıkçılık ile kullanıcının Uygulamayı kabul etmesini ve verilerini çalmasını sağlayabilir.
Kimlik Doğrulama Gerektirmeyen: Harici bir hesaptan, örneğin User.Read ve User.ReadBasic.All izinleriyle bir uygulama oluşturun, bir kullanıcıyı balıklayın ve dizin bilgilerine erişebilirsiniz.
Bu, balıkçılık yapılan kullanıcının harici ortamlardan OAuth uygulamalarını kabul edebilmesini gerektirir!
Kimlik Doğrulamalı: Yeterli ayrıcalıklara sahip bir başlık ele geçirdikten sonra, hesap içinde bir uygulama oluşturun ve ayrıcalıklı OAuth izinlerini kabul edebilecek ayrıcalıklı bir kullanıcıyı balıklayın.
Bu durumda zaten dizin bilgilerine erişebilirsiniz, bu nedenle User.ReadBasic.All izni artık ilginç değildir.
Yönetici onayı gerektiren izinler muhtemelen sizi ilgilendirir, çünkü ham kullanıcılar OAuth uygulamalarına herhangi bir izin veremez, bu yüzden yalnızca bu kullanıcıları balıkçılık yapmanız gerekir (bu ayrıcalığı kimin verdiği hakkında daha fazla bilgi için)
Azure Active Directory (Azure AD) kullanıcılarının uygulamalara onay verebilme yetkisi hakkında onay yapılandırmasını kontrol etmek için aşağıdaki PowerShell komutu kullanılır:
Kullanıcı onayını devre dışı bırak: Bu ayar, kullanıcıların uygulamalara izin vermesini engeller. Kullanıcıların hiçbir uygulamaya onay vermesine izin verilmez.
Kullanıcılar doğrulanmış yayıncılardan veya kuruluşunuzdan uygulamalara onay verebilir, ancak yalnızca seçtiğiniz izinler için: Bu ayar, tüm kullanıcıların yalnızca doğrulanmış bir yayıncı tarafından yayınlanan ve kendi kiracınıza kayıtlı uygulamalara onay vermesine izin verir. Belirli izinler için yalnızca onay verilmesine izin vererek bir kontrol katmanı ekler.
Kullanıcılar tüm uygulamalara onay verebilir: Bu ayar daha esnek olup, tüm kullanıcıların, bu izinlerin yönetimsel onay gerektirmediği sürece, herhangi bir uygulama için herhangi bir izne onay vermesine izin verir.
Özel uygulama onay politikası: Bu ayar, belirli kurumsal gereksinimlere uyarlanabilen özel bir politikanın uygulandığını gösterir ve uygulama yayıncısına, uygulamanın talep ettiği izinlere ve diğer faktörlere dayalı kısıtlamaların bir kombinasyonunu içerebilir.
Kötü niyetli onay verme saldırısında, saldırganlar son kullanıcıları, Azure'a kayıtlı kötü niyetli bir uygulamaya izin vermesi için kandırırlar. Bunun için uygulamanın meşru görünmesini sağlayarak, kurbanları "Kabul Et" düğmesine bilmeyerek tıklamalarını sağlarlar. Sonuç olarak, Azure AD, saldırganın sitesine bir belirteç verir ve böylece kurbanın verilerine (örneğin e-postaları okuma veya gönderme, dosyalara erişme) kurumsal bir hesap olmadan erişmelerine izin verir.
Saldırı, genel bir şirketi hedef alan birkaç adımı içerir. İşte nasıl gerçekleşebileceği:
Alan Kaydı ve Uygulama Barındırma: Saldırgan, güvenilir bir siteyi andıran bir alan kaydeder, örneğin "güvenlialangirisi.com". Bu alan altında, kötü niyetli uygulamayı barındırmak için bir alt alan oluşturulur (örneğin, "firmadiniz.güvenlialangirisi.com").
Azure AD'de Uygulama Kaydı: Saldırgan daha sonra Azure AD Kiracısında Çok Kiracılı Uygulama kaydeder ve meşru görünmek için hedef şirketin adını verir. Uygulamanın Yönlendirme URL'sini, kötü niyetli uygulamayı barındıran alt alanı işaret etmek üzere yapılandırır.
İzinleri Ayarlama: Saldırgan, uygulamayı çeşitli API izinleriyle (örneğin, Mail.Read, Notes.Read.All, Files.ReadWrite.All, User.ReadBasic.All, User.Read) yapılandırır. Bu izinler, kullanıcı tarafından verildiğinde, saldırganın kullanıcı adına hassas bilgileri çekmesine olanak tanır.
Kötü Niyetli Bağlantıları Dağıtma: Saldırgan, kötü niyetli uygulamanın istemci kimliğini içeren bir bağlantı oluşturur ve hedeflenen kullanıcılara paylaşarak, onları onaya zorlar.
Saldırı, 365-Stealer gibi araçlar kullanılarak kolaylaştırılabilir.
Saldırganın, kurban organizasyondaki bir kullanıcıda belirli bir düzeyde erişimi varsa, organizasyonun politikasının kullanıcının uygulamaları kabul etmesine izin verip vermediğini kontrol edebilir.
Saldırıyı gerçekleştirmek için, saldırganın Azure Kiracısında Yeni Bir Uygulama (Uygulama kayıtları içinde) oluşturması gerekecektir, aşağıdaki izinlerle yapılandırılmış:
User.ReadBasic.All, Delegated permissions içinde Microsoft Graph içindedir. (Uygulama izinleri her zaman ek onay gerektirecektir).
User.ReadBasic.All, verildiğinde organizasyondaki tüm kullanıcıların bilgilerini okumanıza izin verecek olan izindir.
Yalnızca GA, ApplicationAdministrator, CloudApplication Administrator ve uygulamalara izin verme iznine sahip özel bir rol içeren roller, kiracı genelinde onay sağlayabilir. Bu nedenle, bir Yönetici onayı gerektiren Uygulamayı onaylaması için bir kullanıcıyı balık tutmalısınız.
Ayrıca, aşağıdaki komut satırı aracılığıyla bir Uygulama oluşturabilirsiniz:
https://www.alteredsecurity.com/post/introduction-to-365-stealer adresine giderek nasıl yapılandırılacağını öğrenin.
Elde edilen erişim belirtecinin, istenen izinler olan User.Read ve User.ReadBasic.All kapsamına sahip graph uç noktası için olacağını unutmayın. Diğer işlemleri gerçekleştiremeyeceksiniz (ancak bu izinler, org içindeki tüm kullanıcılar hakkında bilgi indirmek için yeterlidir).
Bu saldırıyı gerçekleştirmek için bu aracı da kullanabilirsiniz.
Kullanıcıya erişim sağladıktan sonra hassas belgeleri çalabilir ve hatta geri kapı eklenmiş belge dosyalarını yükleyebilirsiniz.
