Kimlik avı saldırıları, Microsoft, Office 365, Outlook ve OneDrive kimlik bilgilerini çalmak için Microsoft Azure’un Statik Web Uygulamaları hizmetini kötüye kullanıyor.
Azure Statik Web Uygulamaları GitHub veya Azure DevOps kod depolarından tam yığın web uygulamaları oluşturmaya ve Azure’a dağıtmaya yardımcı olan bir Microsoft hizmetidir.
Geliştiricilerin web uygulamalarını markalamak için özel alan adlarını kullanmalarına olanak tanır ve HTML, CSS, JavaScript ve resimler gibi statik içerik için web barındırma sağlar.
güvenlik araştırmacısı olarak MalwareHunterTeam keşfedilditehdit aktörleri, özel marka bilinci oluşturma ve web barındırma özelliklerinin, statik giriş kimlik avı sayfalarını barındırmak için kolayca kullanılabileceğini de fark ettiler.
Saldırganlar artık Microsoft’un hizmetini müşterilerine karşı aktif olarak kullanıyor ve Microsoft, Office 365, Outlook ve OneDrive hesapları olan kullanıcıları aktif olarak hedefliyor.
Aşağıda gösterildiği gibi, bu kimlik avı kampanyalarında kullanılan bazı açılış sayfaları ve giriş formları neredeyse tamamen resmi Microsoft sayfalarına benziyor.
Azure Statik Web Uygulamaları meşruiyet sağlar
Microsoft kullanıcılarını hedeflemek için Azure Statik Web Uygulamaları platformunu kullanmak mükemmel bir taktiktir. Her açılış sayfası, *.1.azurestaticapps.net joker TLS sertifikası nedeniyle adres çubuğunda otomatik olarak kendi güvenli sayfa asma kilidini alır.
Bu, Microsoft Azure TLS Veren CA 05 tarafından *.1.azurestaticapps.net’e verilen sertifikayı gördükten sonra en şüpheli hedefleri bile kandıracak ve böylece kimlik avı sayfasını potansiyel kurbanların gözünde resmi bir Microsoft oturum açma formu olarak doğrulayacaktır.
Bu aynı zamanda, meşru Microsoft TLS sertifikaları tarafından eklenen sahte güvenlik perdesi nedeniyle, bu tür açılış sayfalarını Rackspace, AOL, Yahoo ve diğer e-posta sağlayıcıları dahil olmak üzere diğer platformların kullanıcılarını hedeflerken yararlı bir araç haline getirir.
Bir kimlik avı saldırısının sizi hedef aldığını tespit etmeye çalışırken, standart tavsiye, bir oturum açma formunda hesap bilgilerinizi girmeniz istendiğinde URL’yi yakından kontrol etmektir.
Ne yazık ki, Azure Statik Web Uygulamalarını kötüye kullanan kimlik avı kampanyaları, pek çok kullanıcı azurestaticapps.net alt etki alanı ve geçerli TLS sertifikası tarafından kandırılacağından bu tavsiyeyi neredeyse değersiz hale getirir.
Bu, bir Microsoft hizmetinin şirketin kendi müşterilerini hedef alan kimlik avı saldırılarında ilk kez kullanılması değil.
Kimlik avı kampanyaları, hedeflemek için Microsoft’un Azure Blob Storage tarafından sağlanan *.blob.core.windows.net joker sertifikasını da kullanır. Ofis 365 ve Görünüm kullanıcılar.
BleepingComputer yorum için Microsoft’a ulaştı ve haber alırsak hikayeyi güncelleyeceğiz.