Son günlerde yaşanılan Microsoft Entra ID (Azure AD) saldırılarına dikkatinizi çekmek isteriz.
Microsoft Entra ID üzerinde varsayılanda açık gelen bir ayar sayesinde, yetkisiz kullanıcılar, kurum dışından içeriye kullanıcı davet edebilmekte. Ancak bunu kötü niyetli olarak kullanan saldırganlar, içeriden bir kişinin hesabını ele geçirerek inanılmaz sayılarda (3-4 gün içerisinde 1 milyon hesabın üzerinde) dış kullanıcıyı davet etmekte. Eğer Azure AD Premium lisanslarına sahip değilseniz, nesne limitiniz 500.000 olduğundan dolayı hızlıca bu limit dolacaktır ve yeni obje ekleyemez hale geleceksinizdir. Bu da işlerinizin ya da otomasyonlarınızın aksaması sebep olacak.
Bu tarz saldırıları önlemek için aşağıdaki önerilerimizi dikkate almanızı tavsiye ederiz.
Öncelikli olarak yetkisiz kullanıcıların dışarıdan kullanıcı davet etmelerini engellemek adına Azure portal üzerinde Microsoft Entra ID > External Identities > External collaboration settings kısmına giderek Guest invite settings kısmını ya yöneticilere izin vererek ya da tamamen kapatarak işlem yapabilirsiniz.
Bu tarz saldırılar için diğer alacağınız önlemler ise sırasıyla şöyle;
“Guest users access restrictions” ayarının “Guest user access is restricted to properties and memberships of their own directory objects” olarak ayarlandığından emin olun.
“Users Can Register Applications” ayarının “Hayır” Olarak Ayarlandığından emin olun.
“User consent for applications” seçeneğinin “Do not allow user consent” olarak ayarlandığından emin olun.
“Users can add gallery apps to My Apps” seçeneğinin “Hayır” olarak ayarlandığından emin olun.
“Restrict access to Azure AD administration portal” seçeneğinin “Evet” olarak ayarlandığından emin olun.
“Restrict user ability to access groups features in My Groups” seçeneğinin “Evet” olarak ayarlandığından emin olun.
“Users can create “Security” ve “Microsoft 365” Groups in Azure portals, API or PowerShell” ayarlarının her ikisinin de “Hayır” olarak ayarlandığından emin olun
“Owners can manage group membership requests in My Groups” seçeneğinin “Hayır” olarak ayarlandığından emin olun
İş birliği davetlerinin yalnızca izin verilen etki alanlarına gönderildiğinden emin olun.
Güvenli günler dileriz.