OAuth İstismarıyla Microsoft 365 Kuruluşlarına Yönelik Kimlik Avı Kampanyası: 5 Ülkede 340+ Hedef

Anasayfa » OAuth İstismarıyla Microsoft 365 Kuruluşlarına Yönelik Kimlik Avı Kampanyası: 5 Ülkede 340+ Hedef
Bulut Güvenliği, Kimlik Avı, Zafiyetler
Mart 27, 2026Mart 27, 2026Tarafından Cybernews.TR
0
OAuth İstismarıyla Microsoft 365 Kuruluşlarına Yönelik Kimlik Avı Kampanyası: 5 Ülkede 340+ Hedef

Saldırının Genel Çerçevesi

2026 yılının Şubat ayı ortalarında tespit edilen yeni bir kimlik avı kampanyası, OAuth protokolü üzerinden Microsoft 365 kullanıcılarını hedef alıyor. Bu saldırı, cihaz kodu kimlik avı yöntemiyle gerçekleştiriliyor ve beş farklı ülkede 340’tan fazla kurumsal Microsoft 365 hesabını etkiledi. Kampanya, OAuth yetkilendirme sürecindeki zafiyetleri kullanarak kullanıcıların kimlik bilgilerini ele geçirmeyi amaçlıyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanya, öncelikle hedef kullanıcıları sahte OAuth izin ekranlarına yönlendiren kimlik avı e-postaları ile başlıyor. Bu ekranlar, kullanıcıların uygulamalara yetki vermesini sağlayarak saldırganların erişim tokenları elde etmesine olanak tanıyor. Elde edilen tokenlar, Microsoft Graph API gibi bulut servislerine erişimde kullanılıyor. Bu sayede saldırganlar, e-posta içeriklerini okuyabilir, takvim bilgilerini görebilir ve hatta zararlı komutlar gönderebilir.

Teknik açıdan, saldırıda kullanılan yöntemler MITRE ATT&CK matrisinde T1553.003 (OAuth Token Manipulation) ve T1566.002 (Spearphishing Link) taktiklerine karşılık geliyor. Ayrıca, kampanyada kullanılan araçlar arasında sahte OAuth istemcileri ve otomatik token yenileme mekanizmaları bulunuyor.

Hangi Sistemler Risk Altında?

Özellikle Microsoft 365 kullanan kurumsal yapılar, eğitim kurumları ve kamu sektöründeki kuruluşlar hedef alınmış durumda. Bu ortamlar, genellikle bulut tabanlı iş süreçlerine yoğun şekilde bağımlı oldukları için saldırının etkisi daha büyük olabiliyor. Ayrıca, MFA (Çok Faktörlü Kimlik Doğrulama) uygulanmayan veya zayıf IAM (Kimlik ve Erişim Yönetimi) politikalarına sahip sistemler daha fazla risk altında.

Siber Güvenlik Ekipleri İçin Öneriler

  • E-posta güvenliği çözümlerini güncel tutarak kimlik avı e-postalarını tespit edin.
  • OAuth izinlerini düzenli olarak gözden geçirin ve gereksiz yetkileri kaldırın.
  • Microsoft 365 için kapsamlı MFA politikaları uygulayın.
  • EDR ve SIEM sistemlerinizde OAuth token kullanımını izleyen kurallar oluşturun.
  • Olay müdahale planlarınızı OAuth tabanlı saldırılar için güncelleyin.
  • Ağ segmentasyonu ile bulut servislerine erişimi sınırlandırın.
  • Kullanıcı eğitimleri ile kimlik avı farkındalığını artırın.
  • Microsoft Graph API erişim loglarını düzenli olarak analiz edin.

Teknik Özet

  • Kullanılan teknikler: OAuth token manipülasyonu, spearphishing linkleri
  • Hedef sektörler: Kurumsal Microsoft 365 kullanıcıları, kamu ve eğitim sektörü
  • İstismar edilen zafiyetler: OAuth protokolündeki yetki verme mekanizması
  • Saldırı zinciri: Kimlik avı e-postası → Sahte OAuth izin ekranı → Token ele geçirme → API erişimi
  • Önerilen savunma: MFA zorunluluğu, OAuth izinlerinin düzenli denetimi, gelişmiş e-posta güvenliği
, , , , , , ,