Azure CLI Üzerinden Gerçekleştirilen Şifre Saldırısında 78 Microsoft Hesabı Tehlikeye Girdi

Anasayfa » Azure CLI Üzerinden Gerçekleştirilen Şifre Saldırısında 78 Microsoft Hesabı Tehlikeye Girdi
Azure CLI Üzerinden Gerçekleştirilen Şifre Saldırısında 78 Microsoft Hesabı Tehlikeye Girdi

Haziran ayının ortasından sonuna kadar devam eden ve 81 milyondan fazla deneme içeren bir şifre saldırısı, en az 78 Microsoft hesabının ele geçirilmesine yol açtı. Bu saldırı, internet altyapı sağlayıcısı LSHIY LLC tarafından kontrol edilen bir IPv6 adres aralığından geldi ve 64 farklı organizasyonu hedef aldı.

Saldırının Teknik Boyutu ve Kullanılan Yöntem

Şifre saldırısının dikkat çekici yanı sadece deneme sayısının büyüklüğü değil, aynı zamanda birçok hedef kuruluşun Koşullu Erişim Politikası (Conditional Access Policy – CAP) kullanmasına rağmen başarılı olunması. Saldırganlar, Microsoft tarafından kullanımı önerilmeyen ve OAuth 2.1 ile devre dışı bırakılan Resource Owner Password Credentials (ROPC) akışını kullanarak CAP önlemlerini atlatmayı başardı.

ROPC, kullanıcının kullanıcı adı ve şifresini doğrudan istemci uygulamaya verdiği ve bu uygulamanın yetkilendirme sunucusundan erişim belirteci almasını sağlayan eski bir OAuth 2.0 yöntemi. Microsoft, dokümantasyonunda bu yöntemle çok faktörlü kimlik doğrulamanın (MFA) uyumsuz olduğunu ve mümkün olduğunca alternatif, daha güvenli akışların tercih edilmesini öneriyor.

Koşullu Erişim Politikalarının Açıkları ve MFA’nın Rolü

Şifre saldırısı, genellikle daha önce sızdırılmış ancak değiştirilmemiş kullanıcı adı/şifre kombinasyonlarını hedef aldı. ROPC akışı, MFA’nın etkin olduğu ortamlarda dahi saldırganların erişim sağlamasına imkan verdi çünkü bu akış, CAP tarafından genellikle dikkate alınmıyor ve Azure CLI gibi araçlarda MFA tetiklenmiyordu.

Bazı durumlarda MFA yalnızca belirli uygulamalar, kullanıcı grupları veya güvenilmeyen lokasyonlar için zorunlu kılınmıştı. Örneğin, sadece yönetici hesaplarında ya da “Tüm Bulut Uygulamaları” yerine spesifik uygulamalarda MFA uygulanması saldırganların işini kolaylaştırdı. Hatta sekiz firmanın MFA politikası hiç yoktu.

İşletmeler İçin Risk Senaryosu ve Tavsiyeler

Özellikle finans, teknoloji ve kurumsal hizmet sektörlerinde faaliyet gösteren şirketlerin, bu tür saldırılar karşısında hazırlıklı olması gerekiyor. Örneğin, bir SaaS sağlayıcısında ROPC akışı üzerinden gerçekleştirilen saldırı, MFA kısıtlamaları ve yetersiz CAP konfigürasyonu nedeniyle yüzlerce kullanıcı hesabının açığa çıkmasına neden olabilir.

Siber güvenlik ekiplerine önerimiz, MFA uygulamasını “Tüm Kullanıcılar, Tüm Bulut Uygulamaları ve Tüm İstemci Uygulamaları” için zorunlu hale getirmek, Azure CLI erişimlerini yönetici olmayan kullanıcılar için kısıtlamak ve şüpheli erişimlerde hızlı yanıt vermek. Ayrıca CAP kurulumlarının ROPC gibi eski protokolleri de kapsayacak şekilde güncellenmesi kritik.

Teknik Özet: Saldırı Zinciri ve Önlemler

  • Kullanılan yöntem: ROPC tabanlı parola denemeleri (password spray)
  • Hedef: Microsoft hesapları, 64 farklı organizasyon
  • Zaman: 12-26 Haziran 2026 arası
  • Saldırı zinciri: Önceden sızdırılmış kimlik bilgileri -> ROPC ile erişim -> CAP atlatma -> hesap ele geçirme
  • Temel savunma: MFA’nın kapsamlı uygulanması, CAP yapılandırmasının güncellenmesi, Azure CLI erişimlerinin sınırlandırılması

Kurumsal Siber Güvenlik İçin Önerilen Kontroller

– Çok faktörlü kimlik doğrulamayı mutlaka tüm kullanıcı ve uygulamalarda zorunlu kılın.
– CAP politikalarını ROPC ve benzeri eski akışları da kapsayacak şekilde yapılandırın.
– Azure CLI ve benzeri araçların erişimini kullanıcı bazında kısıtlayın.
– Şüpheli oturum açma denemelerini SIEM ve EDR çözümleriyle sürekli takip edin.
– Kullanıcı şifreleri için düzenli rotasyon ve zayıf parola tespiti uygulayın.
– Log kayıtlarını detaylı tutarak olay müdahale süreçlerini hızlandırın.

Bu saldırı, özellikle bulut güvenliği ve kimlik yönetimi alanlarındaki zayıflıkların nasıl istismar edilebileceğini ortaya koydu. E-posta güvenliği ve ağ segmentasyonu gibi diğer katmanlı güvenlik önlemleriyle desteklenmeyen eksik MFA politikaları, kurumları ciddi risk altına sokuyor.