Cyberwise OAuth Zafiyetine Karşı Uyardı

PAYLAŞ
Cyberwise OAuth Zafiyetine Karşı Uyardı
  • 0
  • 0
  • 3 dakika da oku
  • +
  • -

Siber güvenlik alanında bölgesel lider olan Cyberwise ’ın güvenlik uzmanları bütün hesap devralmasında ortaya çıkan kritik ‘nOAuth ’ zafiyeti hakkında uyardı. Microsoft Azure Active Directory AD Sarih Yetkilendirme OAuth sürecindeki bu güvenlik sarihi, kullanıcıların hesabın tamamını devralmak için kullanılabiliyor. 

Siber güvenliğin tamsal bir yaklaşımla ele alınması gerektiğini ve kesintisiz sistem hakimiyetleri hakikatleştirmenin ehemmiyetini her fırsatta vurgulayan Cyberwise, sistem sarihlerinin tespit edilmemesi vaziyetinde ehemmiyetli bir siber güvenlik tehlikesinin ortaya çıktığını vurguladı. Saldırganların her an yeni usullerle sistemlere girmeye çalıştıklarını ifade eden Cyberwise Siber Korunma Merkezi Birim Müdürü Ozan Ceylan, “Kaliforniya merkezli kimlik ve ulaşım yönetimi hizmeti Descope tarafından Nisan 2023 ’te keşfedilen ve nOAuth ismini verilen yeni güvenlik sarihi bize sistem sarihleriyle çaba ederken fertsel mesullüklerin ehemmiyetini bir defa daha andırdırdı. Özellikle pek çok bireyin uygulamalara ulaşımı basitleştirmek için hesap doğrulama operasyonlarını işlevsiz kılması ve hesaplarını doğrulama olmadan birleştirmesi gidişatından yararlanan bu hücum, kurbanlarının Microsoft hesabı olmasa dahi hesapları üzerinde bütün hakimiyete sahip oluyor. Dolayısıyla kullanıcıların hesaplarını birleştirirken ve otomatik girişleri onaylarken bir defa daha düşünmeleri yerinde olacaktır” dedi. 

“Alakalı güvenlik sarihinin yanlış yapılandırmadan kaynaklı olduğunu biliyoruz.” diyen Ozan Ceylan nOAuth yanılgısı ile alakalı en tesirli çözümün 2FA olacağını aktardı ve ilave etti: 

“Yanlış yapılandırma, makûs gayeli bir oyuncunun Azure AD hesabındaki ‘İrtibat Bilgileri ’ altındaki e-posta özniteliklerini nasıl değiştirebileceği ve bir kurban hesabını ele geçirmek için ‘Microsoft ile seans aç ’ özelliğinden nasıl faydalanabileceği ile alakalı. Hamleyi hakikatleştirmek için bir saldırganın tek yapması gereken, bir Azure AD idareyici hesabı oluşturup bu hesaba ulaşmak ve e-posta adreslerini kurbanınkiyle değiştirmek ve güvenlik sarihi bulunan bir uygulama veya web sitesinde çoklu seans açma şemasından faydalanmak. İlave Edilen doğrulama bilgisine göre şahsi hesap arasından birebir eşleşme sağlaması şahsi bilgilerin korunmasını sağlayacaktır. İlerleyen evrede zafiyetle alakalı alınması gereken tedbir ise yeni güvenlik ihtarlarını veya yamaları yakından takip etmek olacaktır”

 

Kaynak: BYZHA Beyaz Haber Ajansı