DOLAR
34,5424
EURO
36,0063
ALTIN
3.006,41
BIST
9.549,89
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul
Yağmurlu
19°C
İstanbul
19°C
Yağmurlu
Cumartesi Parçalı Bulutlu
9°C
Pazar Az Bulutlu
10°C
Pazartesi Çok Bulutlu
11°C
Salı Hafif Yağmurlu
12°C

Cyberwise OAuth Zafiyetine Karşı Uyardı

Siber güvenlik alanında bölgesel lider olan Cyberwise’ın güvenlik uzmanları tam hesap devralmasında ortaya çıkan kritik ‘nOAuth’ zafiyeti hakkında uyardı.

Cyberwise OAuth Zafiyetine Karşı Uyardı
26.07.2023 15:30
145
A+
A-

Siber güvenlik alanında bölgesel lider olan Cyberwise’ın güvenlik uzmanları tam hesap devralmasında ortaya çıkan kritik ‘nOAuth’ zafiyeti hakkında uyardı. Microsoft Azure Active Directory (AD) Açık Yetkilendirme ( OAuth ) sürecindeki bu güvenlik açığı, kullanıcıların hesabın tamamını devralmak için kullanılabiliyor. 

Siber güvenliğin bütünsel bir yaklaşımla ele alınması gerektiğini ve sürekli sistem kontrolleri gerçekleştirmenin önemini her fırsatta vurgulayan Cyberwise, sistem açıklarının tespit edilmemesi durumunda önemli bir siber güvenlik riskinin ortaya çıktığını vurguladı. Saldırganların her an yeni yöntemlerle sistemlere girmeye çalıştıklarını ifade eden Cyberwise Siber Savunma Merkezi Birim Müdürü Ozan Ceylan, “Kaliforniya merkezli kimlik ve erişim yönetimi hizmeti Descope tarafından Nisan 2023’te keşfedilen ve nOAuth adını verilen yeni güvenlik açığı bize sistem açıklarıyla mücadele ederken bireysel sorumlulukların önemini bir kez daha hatırlattı. Özellikle pek çok kişinin uygulamalara erişimi kolaylaştırmak için hesap doğrulama işlemlerini işlevsiz kılması ve hesaplarını doğrulama olmadan birleştirmesi durumundan faydalanan bu saldırı, kurbanlarının Microsoft hesabı olmasa bile hesapları üzerinde tam kontrole sahip oluyor. Dolayısıyla kullanıcıların hesaplarını birleştirirken ve otomatik girişleri onaylarken bir kez daha düşünmeleri yerinde olacaktır” dedi. 

“İlgili güvenlik açığının yanlış yapılandırmadan kaynaklı olduğunu biliyoruz.” diyen Ozan Ceylan nOAuth hatası ile ilgili en etkili çözümün 2FA olacağını aktardı ve ekledi: 

“Yanlış yapılandırma, kötü niyetli bir aktörün Azure AD hesabındaki ‘İletişim Bilgileri’ altındaki e-posta özniteliklerini nasıl değiştirebileceği ve bir kurban hesabını ele geçirmek için ‘Microsoft ile oturum aç’ özelliğinden nasıl yararlanabileceği ile ilgili. Saldırıyı gerçekleştirmek için bir saldırganın tek yapması gereken, bir Azure AD yönetici hesabı oluşturup bu hesaba erişmek ve e-posta adreslerini kurbanınkiyle değiştirmek ve güvenlik açığı bulunan bir uygulama veya web sitesinde çoklu oturum açma şemasından yararlanmak. Eklenilen doğrulama bilgisine göre kişisel hesap arasından birebir eşleşme sağlaması kişisel bilgilerin korunmasını sağlayacaktır. İlerleyen aşamada zafiyetle ilgili alınması gereken önlem ise yeni güvenlik uyarılarını veya yamaları yakından takip etmek olacaktır”

 

Kaynak: (BYZHA) Beyaz Haber Ajansı