10 Saniyede Özet
Saldırganlar, farklı tenant’lardan Teams üzerinden yazıp kendilerini helpdesk yahut BT takımı üzere gösteriyor.
Kullanıcı Quick Assist ya da gibisi araçlarla erişim verdiğinde aygıtta etkileşimli denetim başlıyor.
Sonraki evrede WinRM, Level RMM ve Rclone üzere araçlarla şirket içinde ilerleme ve data transferi görülebiliyor.
Microsoft, bunun bir Teams açığından değil, yasal akışların toplumsal mühendislikle berbata kullanılmasından kaynaklandığını söylüyor.
Microsoft, paylaştığı yeni güvenlik araştırmasında saldırganların Microsoft Teams üzerinden kendilerini BT dayanak takımı üzere tanıtarak çalışanları uzaktan erişim vermeye ikna ettiğini duyurdu.
Zincir birinci bakışta sıradan bir dayanak görüşmesi üzere görünüyor. Lakin kullanıcı onayı alındıktan sonra olay kısa müddette şirket ağı içinde yatay harekete ve hassas data transferine dönüşebiliyor.
Buradaki kritik ayrım şu: Microsoft’un anlattığı senaryo, Teams içindeki bir teknik açıktan çok toplumsal mühendislik üzerine konseyi. Yani saldırganlar platformdaki yasal dış bağlantı ve uzaktan takviye akışlarını kullanıyor, kullanıcıyı da Teams’in gösterdiği ikazları görmezden gelmeye yönlendiriyor.
Microsoft’un aktardığı akın akışında birinci temas, diğer bir kurumsal yapıdan gelen Teams iletisi ya da davetiyle başlıyor. Karşı taraf kendisini iç BT takımı, helpdesk ya da güvenlik ünitesi üzere gösteriyor.
Güvenlik güncellemesi, spam filtre düzeltmesi yahut hesap doğrulama üzere mazeretlerle kullanıcıyı süratli hareket etmeye zorluyor. Kimi olaylarda yazışmaya sesli görüşme de ekleniyor ve inanç hissi artırılıyor.
Microsoft’a nazaran asıl risk, dışarıdan gelen birinci bildirinin kendisinden çok kullanıcının sonraki adımları onaylamasıyla ortaya çıkıyor. Teams tarafında birinci dış temas için Accept/Block ekranları, dış tenant ihtarları, spam yahut phishing göstergeleri üzere güvenlik katmanları esasen var. Lakin taarruz zinciri, kullanıcının bu işaretleri atlayıp uzaktan takviye oturumu başlatmasına dayanıyor.
Tuzak nasıl çalışıyor?
Saldırgan kullanıcıyı Quick Assist açmaya, kısa güvenlik kodunu girmeye ve irtibata müsaade vermeye yönlendiriyor. Microsoft’un dayanak sayfası da Quick Assist’in uzaktan temas kullandığını, karşı tarafın ekranı görebileceğini ve kullanıcı müsaade verirse bilgisayarı denetim edebileceğini açıkça belirtiyor. Yardım alan kişi 6 haneli kodu girdikten sonra ilişkiyi ayrıyeten onaylıyor; tam denetim istenirse bunun için de başka müsaade veriliyor.
Microsoft’un araştırmasına nazaran bu kademe birçok vakit bir dakikadan kısa müddette tamamlanıyor. Çabucak akabinde saldırganlar genelde 30 ila 120 saniyelik birinci keşif adımına geçiyor; kullanıcı yetkilerini, aygıtın kurumsal yapıya bağlı olup olmadığını, işletim sistemi detaylarını ve ağ erişimini denetim ediyor. Yetki yeterliyse süreç orada kalmıyor ve atak daha derine iniyor.
Sonraki etap data sızdırmaya kadar gidiyor
Microsoft’un paylaştığı zincirde uzaktan erişim alındıktan sonra muteber tedarikçi imzalı uygulamalarla birlikte saldırgana ilişkin modüller çalıştırılabiliyor. Akabinde Windows Remote Management yani WinRM üzere lokal idare protokolleri kullanılarak daha kritik sistemlere geçiş denenebiliyor; maksatlar ortasında tesir alanı denetleyicileri üzere yüksek bedelli varlıklar da yer alıyor.
Gözlenen olaylarda ticari uzaktan idare yazılımları, ek erişim araçları ve Rclone üzere data transfer yardımcıları da kullanıldı. Microsoft, bu yapının saldırganlara şirket içinde yayılma, kalıcı erişim alanı genişletme ve iş açısından kıymetli dataları harici bulut altyapılarına taşımaya hazırlanma imkanı verdiğini söylüyor. Zincirin tehlikeli tarafı da burada: kullanılan araçların kıymetli kısmı yasal olduğu için hareketlilik sıradan BT faaliyetine benzeyebiliyor.
Microsoft ayrıyeten bu senaryonun Teams’teki bir güvenlik açığından kaynaklanmadığını bilhassa vurguluyor. Şirkete nazaran saldırganlar, platformun meşru dış iş birliği özelliklerini berbata kullanıyor ve kullanıcıyı görünür ikazlara karşın kendi eliyle erişim vermeye ikna ediyor.
Peki kurumlar ne yapabilir? Microsoft’un teklifleri ortasında dışarıdan gelen beklenmedik takviye temasını varsayılan olarak kuşkulu kabul etmek, uzaktan erişim araçlarını nitekim gerekli değilse kaldırmak yahut kapatmak, WinRM üzere idare protokollerini sonlandırmak, MFA ve aygıt uyumluluğu üzere şartlı erişim katmanlarını sıkılaştırmak yer alıyor. Buna ek olarak kurum içi helpdesk doğrulama parolası belirlemek ve çalışanlara dış tenant ihtarlarının ne manaya geldiğini öğretmek de teklifler ortasında.
Teams’in dış erişim tarafında da kurumların elinde ek denetim var. Microsoft Learn dokümanına nazaran yöneticiler dış kuruluşlarla bağlantısı tüm alan isimlerine açık bırakabiliyor, sadece muhakkak alan isimlerine müsaade verebiliyor, makul alan isimlerini engelleyebiliyor ya da dış erişimi büsbütün kapatabiliyor. Varsayılan yapılandırmada tüm dış alan isimlerine müsaade verilebilmesi, bu başlığın neden direkt BT siyasetleriyle ilgili olduğunu da gösteriyor.