Microsoft Azure

Azure Active Directory MFA Policy Yapılandırması

MFA, oturum açma işlemi sırasında kullanıcılardan cep telefonlarındaki kod veya parmak izi taraması gibi ek bir tanımlama biçimi istendiği bir işlemdir.

Blog İçeriği:

  1. Phishin Saldırılar Artış Gösteriyor
  2. Microsoft Authenticatior’da MFA Eşleştirme Adımları
  3. Azure AD Fraud Alert
  4. MFA İçin Ek Yapılandırmalar

Phishin Saldırılar Artış Gösteriyor

Son zamanlarda saldırganların MFA yöntemini ByPass ettiğine dair, bir çok haber dolaşmakta. Kullanıcıların parolalarını tahmin eden saldırganlar, MFA’yıda kendi yöntemleri ile ByPass ederek erişim sağlayabilmekteler. Bu tarz saldırılara en son UBER eklendi.

Uber Saldırıya Uğradı, Zafiyet Raporları Dahil Çok Sayıda Veri Sızdırıldı – ÇözümPark (cozumpark.com)

Saldırılara Microsof’un bakış açısı.

Bu büyük ölçekli kimlik avı kampanyasında kullanılan kimlik avı süreci, yaygın olarak kullanılan Evilginx2, Modlishka ve Muraena dahil olmak üzere çeşitli açık kaynaklı kimlik avı araç setlerinin yardımıyla otomatikleştirildi.

Bu kampanyada kullanılan kimlik avı siteleri reverse proxy olarak saldırganlar tarafından çalıştırıldı ve hedeflerin kimlik doğrulama isteklerini TLS oturumu aracılığıyla oturum açmaya çalıştıkları meşru web sitesine proxylemek için tasarlanmış web sunucularında barındırıldığı açıklandı..

Bu taktiği kullanarak, saldırganların kimlik avı sayfası, parolalar ve daha da önemlisi oturum çerezleri de dahil olmak üzere ele geçirilen HTTP isteklerinden hassas bilgileri ayıklamak için kimlik doğrulama işlemini engelleyen bir ortadaki adam aracısı olarak hareket etti.

Saldırganlar hedeflerin oturum çerezini ele geçirdikten sonra, kendi web tarayıcılarına enjekte ettiler, bu da kurbanların güvenliği ihlal edilmiş hesaplarda MFA’yı etkinleştirmiş olsalar bile, kimlik doğrulama işlemini atlamalarına izin verdi.

Saldırının detayları için Microsoft tarafından yayınlanan raporu inceleyebilirsiniz;

From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud – Microsoft Security Blog

Bu tarz saldırılarıdan korunmak için kullanıcılarınızda farkındalık yaratmanız çok büyük önem sarfediyor. Ama tenant yöneticisi olarak MFA tarafında değişiklikler gerçekleştirebilirsiniz.

Bu saldırılar arasında MFA bombalama tekniği kullanarak parolasını elde etmiş kullanıcıların MFA doğrulamasını atlatabilmekteler.

Microsoft Authenticatior’da MFA Eşleştirme Adımları

MFA Bombalama saldırısının engellemek için, Authenticatior’da sayı eşleştirmesini kullanabilirsiniz. Number Matching (Sayı Eşleştirme), Bir kullanıcı Microsoft Authenticator kullanarak MFA bildirimine yanıt verdiğinde, onay sürecini tamamlamak için Authenticator uygulaması ile eşleştirmesi için bir sayı sunmaktadır.

Authenticatior’da sayı eşleştirme uygulaması, Microsoft tarafında güvenlik yükseltmesi olarak tanımlanmaktadır. Güvenlik için en yakın sürede bu yönteme geçmenizi önerilmektedir.

Sayı eşleştirme, dinamik ve tek bir grup olarak kullanılabilmektedir. Security grupları, Azure AD grupları bu yöntemi desteklemektedir.

Doğrulama yöntemi için Apple Watch kullanıyorsanız, Apple Watch henüz bu işlemi desteklememektedir.

Öncelikle Azure Portal‘da oturum açmamız gerekiyor ve Azure Active Directory’e erişmemiz gerekiyor.

Sol Menüde bulunan Security – Authentication Methods – Microsoft Authenticatior adımlarını takip ediyoruz.

İlkeyi tüm kuruluşta etkinleştirmek için Basic sekmesi içerisinde bulunan “Enable” butonunu “YES” olarak ayarlıyoruz ve “Target” bölümünde kendi senaryonuza göre tüm Kullanıcılar veya grup olarak değiştirebilirsiniz.

Microsoft Authenticator için etkinleştirilen kullanıcılar, oturum açma için sayı eşleşmesi gerektirecek şekilde ilkeye dahil edilebiliyor veya ilkenin dışında bırakılabilir. Microsoft Authenticator için etkinleştirilmemiş kullanıcılar bu özelliği göremez.

Authentication Mode bölümünde eğer “Passwordless” seçimi yaparsanız, Microsoft Passwordless sayı eşleştirme ilkesini varsayılan olarak kullandığı için otomatik olarak sayı eşleştirme etkinleştirilmektedir.

İkinci adımda ise “Configure” bölümüne geliyoruz.

Require number matching for push notifications (Preview) bölümünü yapılandırmamız gerekmektedir. Status bölümünü Enable olarak değiştiriyorum ve Target bölümünde bu ilkeyi kimlerin Kullanıcı/Grup kullanabileceğini belirtiyorum. Kullanıcı veya Grup dışlamak isterseniz Exclude bölümünü kullanabilirsiniz.

Show application name in push and passwordless notifications (Preview) ve Show geographic location in push and passwordless notifications (Preview);

Bu bölümleri etkinleştirdiğiniz zaman Authenticatior üzerinden giriş yapılan lokasyonu ve uygulamanın ismini görebilirsiniz. Kullanıcı isteğin hangi uygulama veya hangi lokasyondan geldiğini görebilmesi için bu özelliği açmanız gerekmektedir.

Yapılandırmalar sırasında “Microsoft Managed” olarak ayarlarsanız eğer, Microsoft bu özelliği Genel Kullanıma sunduğu zaman ortamınızda etkinleştirecektir.

Yapılandırmamızı yaptığımıza göre şimdi test işlemi gerçekleştireceğim, My Sign-Ins | Security Info | Microsoft.com sayfasına hesabımla giriş yapıyorum. Giriş sırasında bana telefonumda kullandığımda Authentication uygulamasına girmem gereken bir sayı veriyor.

Telefonuma gelen bildirim ile authentication uygulamasına gidiyorum. Hangi lokasyondan ve hangi uygulamaya erişmek istenildiğini gibi detayları görebiliyorum. Login sayfasının vermiş olduğu sayıyı authentication uygulamasına giriyorum ve giriş işlemim başarılı oluyor.

Azure AD Fraud Alert

Multi-Factor Authentication (MFA), Kurumsal uygulamalara erişimin güvenliğini sağlamak için harika bir özelliktir, ancak bir kullanıcı beklemediği bir çok faktörlü kimlik doğrulama isteği aldığında ne yapması gerekiyor?

Bu özellik “Fraud Alert” (Dolandırıcılık Uyarısı” kullanıcıların saldırı girişimleri konusunda daha proaktif olmasını sağlayabiliyor. İzinsiz erişimleri engellemek için uyarı kodlarını girebilir ve kullanıcıyı engelleyebilirler, böylelikle tekrar tekrar denemeleri engelleyebilirler ve kullanıcıyı güvene alabilirler.

Ayrıca, kullanıcının parolasını öngörebilmeleri, araştırabilmeleri ve değiştirebilmeleri için yapılandırılmış e-posta adreslerine bir e-posta bildirimi gönderebilir. Uygun eylemi gerçekleştirdikten sonra, MFA Yönetim Portalı’nda kullanıcının hesabının engelini kaldırabilirler.

Bu gelişmiş güvenlik özelliği sizi “MFA bombardımanı” adı verilen bir kimlik avı saldırısına karşı koruyabilir. Bu durum, bir saldırgan kullanıcının hesabının güvenliğini aşma isteğini onaylamasını sağlamak amacıyla art arda bir MFA istemi başlattığında oluşmaktadır.

Allow users to submit fraud alerts: Bu seçenek ile kullanıcılarınızın dolandırıcılık bildirimi yapmasına izin vermektesiniz.

Automatically block users who report fraud: Dolandırıcılık bildirimi yapan kullanıcılar otomatik 90 gün boyunca engellenir veya tenant yöneticisinin bu engeli kaldırması gerekir.

Code to report fraud during initial greeting: Burada belirtmiş olduğunuz kod ile dolandırıcılık bildirimi yapabilirsiniz. Microsoft tarafından doğrulama için aranırsanız, sesli arama sırasında kullanıcılar dolandırıcılık kodunu tuşlarda bildirim sağlanır.

Örnek: Telefonumda bulunan Microsoft Authentication uygulamasına bildirim geldi ve “Hayır ben değilim” butonu ile işlemi gerçekleştirdim. Rapor butonu ile işlemi bildirdim ve kullanıcımın engellemesini gerçekleştirdim.

Engellenmiş kullanıcıları Block/unblock users bölümünden görüntüleyebilir ve engellerini kaldırabilirsiniz.

Eğer MFA için bir notifications tanımlaması yaptıysanız, Fraud Alert için E-Posta alabilirsiniz. Azure Active Directory üzerinde bulunan Azure AD Sign-ins bölümünden dolandırıcılık raporlarını görüntüleyebilirsiniz.

MFA İçin Ek Yapılandırmalar

Azure AD MFA için yapılandırma ayarlarınızı kontrol etmeniz gerekmektedir. Bu yapılandırma sırasında Trusted IP kullanımları veya doğrulama yöntemlerimizi gözden geçireceğiz. Ortamımda trusted IP kullanıluyorsa şirket içi güvenliği için Trusted IP adreslerini devre dışı bırakacağım.

Bu yapılandırma için şu adımları takip etmeniz gerekmektedir;

Azure Portal – Azure Active Directory – Security – MFA – Configure – Additional cloud-based MFA settings

İlk seçenekte “Kullanıcıların, tarayıcı haricinde uygulamalarda oturum açmak için uygulama parolaları oluşturmasına izin verme” seçeneğini aktif hale getirebilirsiniz.

Bu seçenek ile beraber kullanıcılarınızın uygulama parolası oluşturmasını engelleyebilirsiniz.

Trusted IP kısmının ise devre dışı olması gerekmektedir, trusted IP’lerden gelen istekler 2FA tarafından atlanmaktadır. Bu yüzden bu seçeneği devre dışı bırakmanız yada yabancı IP adreslerini kaldırabilirsiniz.

Doğrulama seçenekleri bölümünde ise SMS isteğini kaldırabilirsiniz. Zorunda kalmadıkça SMS isteği kullanmamanız tavsiye edilmektedir.

İlgili Makaleler

3 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu