Microsoft Password Spray ile mücadele etmek için yeni bir döküman yayınladı.
Use Authentication Policies to Fight Password Spray Attacks – Microsoft Tech Community
Son zamanlarda, müşterilerimizin çoğunun temel kimlik doğrulamasından yararlanan parola püskürtme saldırılarıyla hedef alındığını gösteren birkaç gösterge gördük.
Exchange Online’da temel kimlik doğrulamasını kapatmamızın tek nedeni, kullanıcılarınızı ve verilerinizi korumaktır. Her gün gördüğüm kanıtlar, şifre püskürtme saldırılarının daha sık hale geldiğini açıkça gösteriyor.
Password Spray saldırısı nedir?
Parola püskürtme saldırısı, saldırganın herhangi birinin çalışıp çalışmayacağını görmek için bir hedef sisteme karşı ortak parolaların bir listesiyle çok sayıda kullanıcı adı denediği bir kaba kuvvet saldırısı türüdür. Kullanıcı adı değişmeye devam ettiği için bunu tespit etmek genellikle zordur; saldırıya uğrayan hesap sürekli değiştiği için hesaplar kilitlenmez. Saldırganlar ayrıca çabalarını hedefleri üzerinden dağıtır ve kaynak IP’lerini değiştirmeye devam eder.
Esasen bir sayı oyunudur ve bilgisayarlar sayılarda oldukça iyidir. Ve saldırılar devam ettikçe, işe yarıyor.
Bu şekilde saldırıya uğradığını gördüğümüz en popüler protokoller SMTP ve IMAP’tir. POP listede üçüncü sırada, ancak SMTP ve IMAP kendi liglerinde çok uzaklar.
Exchange Server Password Spray Saldırısı için ne yapılabilir
Yalnızca belirli protokollerle temel kimlik doğrulaması kullanması gerektiğini bildiğiniz hesapların bu protokollerle temel kimlik doğrulamasını kullanabilmesini sağlamak için Exchange Online Kimlik Doğrulama İlkeleri’ni ayarlayın. SMTP ve IMAP ile başlayın ve bugün yapın!
Exchange Server Kimlik Doğrulama İlkeleri nasıl ayarlanır?
IMAP erişimini örnek olarak kullanacağız ve ardından bazı uygulamaların (Outlook gibi) birden fazla protokol kullandığını belirterek her protokol için bu işlemi tekrarlayacağız. Bu nedenle, kullanıcılara yalnızca bir politika atanabileceğinden bazı “kombinasyon” politikalarına ihtiyacınız olabilir:
- Kiracınızda IMAP ile temel kimlik doğrulamasını yasal olarak kimin kullandığını belirlemek için Azure AD Oturum açma raporlarını kullanın.
- Tenantınızda, IMAP ile Temel Kimlik Doğrulama’ya izin veren bir Kimlik Doğrulama İlkesi oluşturun. Mesela:
New-AuthenticationPolicy -Name "AllowIMAP" -AllowBasicAuthImap
- Tüm temel kimlik doğrulama kullanımını engelleyen bir Varsayılan Kimlik Doğrulama İlkesi oluşturun:
New-AuthenticationPolicy -Name "BlockAllBasicAuth"
- İzin ver ilkesini tanımladığınız kullanıcı hesaplarına atayın:
Set-User -Identity Bob -AuthenticationPolicy “AllowIMAP”
- Ardından, Varsayılan Kimlik Doğrulama’yı her şeyi engelleyen ilkeye ayarlayın:
Set-OrganizationConfig -DefaultAuthenticationPolicy "BlockAllBasicAuth"
IMAP ile temel kimlik doğrulamasını kullanma girişimleri, açık İzin Ver ilkesine sahip olanlar dışında herhangi bir hesap kullanarak başarısız olur.
Parola püskürtme saldırıları bu belirli hesaplarla sınırlı olacaktır – ve diğer tüm hesaplarınızın bu şekilde saldırıya uğramayacağını bilerek onları daha yakından ve güvende bir şekilde izleyebilirsiniz.
SMTP Kimlik Doğrulaması’nı devre dışı bırakmadığımızdan ve SMTP en sık saldırıya uğrayan protokollerden biri olduğundan, SMTP için bir Kimlik Doğrulama İlkesi ayarlamayı ve saldırı yüzeyinizi sınırlamayı bir öncelik haline getirmelisiniz.
Exchange Server Kimlik Doğrulama Politikaları yerine Set-CASMailbox kullanabilir miyiz?
Birçok müşterinin, protokolleri engellemek için Set-CASMailbox’ı kullandığını ve bunun temel kimlik doğrulamasını da engelleyeceğini düşündüğünü görüyoruz. Ama olmayacak ve nedenini açıklayalım.
Başlamak için, CASMailbox ayarları bir protokolün kullanımını tamamen engeller – temel kimlik doğrulamasının yanı sıra OAuth.
Örneğin, OAuth’u IMAP ile kullanmak isterseniz, CASMailbox bunu engeller.
Ancak daha da önemlisi, CASMailbox ayarları, istemcinin posta kutusu verilerine ulaşma yolculuğunun son aşamasında engellenir. Kullanıcının protokol başına CASMailbox ayarı için bile değerlendirilebilmesi için kimlik doğrulaması yapması ve Azure Koşullu Erişim’den geçmesi gerekir. Bu aşamada engellenirlerse, verilere erişemezler; ancak müşteriye verilen yanıt farklı bir hikaye anlatıyor – şifre spreyi kullananların okumayı sevdiği bir hikaye.
Örneğin IMAP erişimini ele alalım. IMAP/Basic’i bir Kimlik Doğrulama İlkesi ile engellerseniz (veya kalıcı olarak engellersek) istemci uygulaması şunları alır:
IMAP sunucusu “2 NO LOGIN failed.” hata durumuyla yanıt verdi.
Ancak, Set-CASMailbox ile erişimi engellerseniz, istemci uygulaması şunları alır:
IMAP sunucusu “AD User is authenticated but not connected.” hata durumuyla yanıt verdi.
Bu çok açıklayıcı. İkinci mesaj aslında ‘şifreyi doğru yaptınız, ancak verilere erişemiyorsunuz’ diyor. Ve bu, başarılı bir şifre toplandı.