🧨 Ne Oldu?
Siber güvenlik araştırmacısı Dirk-Jan, Microsoft Entra ID (eski adıyla Azure AD) sisteminde kritik bir güvenlik açığı keşfetti. Bu açık, eski Azure AD Graph API’nin hizmet tokenlarını (Actor tokens) yanlış doğrulaması nedeniyle, herhangi bir kullanıcının Global Administrator yetkisine yükselmesine olanak tanıyordu.
🧠 Basitçe Anlatmak Gerekirse:
Bu açık sayesinde kötü niyetli kişiler, herhangi bir Entra ID tenant’ında tam kontrol elde edebiliyordu. Bu kontrol; kullanıcılar, e-postalar, SharePoint, OneDrive, SSO ve tüm yapılandırmaları kapsıyordu. Microsoft, eski Graph API’yi devre dışı bırakmaya ve koruma önlemleri uygulamaya başladı. Ancak bu durum, tüm sistem yöneticileri için ciddi bir uyarı niteliğinde.
✅ Hemen Alınması Gereken Önlemler
1. graph.windows.net (eski Graph API) kullanımını durdurun → Microsoft Graph’a geçin.
2. Tüm service principal’ları ve izinlerini (Directory.ReadWrite.All, Application.ReadWrite.All vb.) gözden geçirin ve en aza indirin.
3. Token Protection ve Conditional Acces özelliklerini etkinleştirerek token’ları cihazlara bağlayın.
4. Günlükleri izleyin: beklenmeyen S2S istekleri, toplu rol değişiklikleri, anormal Global Admin atamaları.
5. SP ve uygulamalardaki anahtarları/şifreleri döndürün.
📌 SOC Kontrolü:
Son 30 gün içinde yapılan tüm rol yükseltme işlemlerini ve hizmet token’larını tarayın.
Yetkisiz Global Admin ataması = P1 seviyesinde güvenlik olayı.
🕵️ Dirk-Jan’ın Bulguları: “One Token to Rule Them All”
Dirk-Jan’ın [detaylı blog yazısında] şu noktalar öne çıkıyor:
– Microsoft’un dahili servisler arası iletişimde kullandığı Actor token’lar, tenant doğrulaması olmadan kullanılabiliyordu.
– Bu token’lar, güvenlik politikalarına (Conditional Access gibi) tabi değildi.
– Bir tenant’tan alınan token ile başka bir tenant’ta herhangi bir kullanıcıya (Global Admin dahil) erişim sağlanabiliyordu.
– Bu token’lar log kaydı oluşturmadığı için izlenmesi neredeyse imkânsızdı.
– Microsoft, açığı birkaç gün içinde kapattı ve CVE-2025-55241 koduyla duyurdu.
🛡️ Tavsiye ve Önerilerimiz
Bu olay, bulut tabanlı kimlik yönetiminde ne kadar dikkatli olunması gerektiğini bir kez daha gösteriyor. Özellikle eski API’lerin kullanımı, sistemde görünmeyen arka kapılar oluşturabiliyor. Geliştiriciler ve sistem yöneticileri olarak:
– Güncel API’leri kullanın
– Yetki yönetimini sıkılaştırın
– Token güvenliğini artırın
– Günlükleri düzenli olarak analiz edin
CUMBUR.NET - sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
