Azure Hesap Güvenliği Krizde: Milyonlarca Deneme, Onlarca İhlal

Son dönemde yaşanan büyük ölçekli bir saldırı, Azure hesap güvenliği konusunu tekrar gündeme taşıdı. Siber güvenlik uzmanları, Microsoft’un Azure komut satırı arayüzüne (CLI) yönelik “devam eden, otomatik ve büyük bir parola püskürtme saldırısı” konusunda uyarıyor. Bu kapsamlı kampanya, onlarca Microsoft hesabının tehlikeye girmesine neden oldu; bulut altyapılarının ne denli kırılgan olabileceğini bir kez daha gösterdi.
Bu saldırı dalgası, bulut tabanlı hizmetlerin siber güvenlik risklerine karşı ne kadar hassas olduğunu gözler önüne seriyor. Kuruluşlar, dijital dönüşüm süreçlerinde bulut platformlarına bağımlılıklarını artırırken, bu tür tehditlerin ciddiyetini kavramak zorundalar. Peki, bu saldırı tam olarak nasıl işledi ve arkasındaki aktörler kimlerdi?
Ölçek ve Mekanizma: Gizli Bir Saldırı Dalı
Saldırıların arkasındaki tehdit aktörleri, internet altyapı sağlayıcısı LSHIY LLC (AS32167) tarafından kontrol edilen bir IPv6 adres aralığından (2a0a:d683::/32) hareket etti. 12 Haziran ile 26 Haziran 2026 tarihleri arasında, bu aktörler 81 milyondan fazla oturum açma denemesi gerçekleştirdi. Bu devasa çabanın sonucunda, 64 farklı kuruluşa ait en az 78 Microsoft hesabı başarıyla ele geçirildi. Bu, yalnızca sayısal bir büyüklük değil, aynı zamanda hedeflenen siber saldırıların ulaştığı cüretkar seviyenin de bir göstergesi değil mi?
Saldırıyı özellikle kayda değer kılan, ele geçirilen kuruluşların çoğunun Koşullu Erişim (Conditional Access) politikalarını etkinleştirmiş olmasıydı. Tehdit aktörleri, OAuth 2.1 ile kullanımdan kaldırılan, ancak hâlâ bazı sistemlerde bulunabilen Kaynak Sahibi Parola Kimlik Bilgileri (ROPC – Resource Owner Password Credentials) adında eski bir OAuth akışını kullanarak bu korumaları aşmayı başardı. ROPC, kullanıcıların doğrudan istemci uygulamasına kullanıcı adı ve şifrelerini girmesine olanak tanıyan, daha sonra bu kimlik bilgilerinin bir erişim belirteci almak için yetkilendirme sunucusuna gönderildiği bir tür eski OAuth 2.0 yetki türüdür.
Microsoft’un kendi dokümantasyonunda ROPC akışının çok faktörlü kimlik doğrulama (MFA) ile uyumsuz olduğu ve çoğu senaryoda daha güvenli alternatiflerin mevcut ve önerildiği belirtilmiştir. Bu akış, uygulamaya çok yüksek derecede güven gerektirir ve diğer akışlarda bulunmayan riskler taşır. Yalnızca daha güvenli akışların mümkün olmadığı durumlarda kullanılması tavsiye edilir.
Bu durum, şirketlerin güvenlik politikalarını yalnızca uygulamanın ötesine taşıyarak, eski ve güncel olmayan kimlik doğrulama yöntemlerini de denetlemesi gerektiğini gösteriyor. Zayıf noktalar her zaman beklenmedik yerlerde mi ortaya çıkar?
Zaman Çizelgesi ve Hedef Profili: Kimler Risk Altında?
Kimlik bilgisi ve belirteç püskürtme saldırıları, 12 Haziran ile 21 Haziran 2026 tarihleri arasında günde birkaç başarılı oturum açma ile sonuçlandı; her gün ortalama iki ila dört hesap ele geçirildi. Ancak 19 Haziran’da bu sayı 12 kullanıcı hesabına yükseldi. Bu düzenli ritim, 22 Haziran’da önemli ölçüde değişti; 23 işletmede 30 kimlik etkilendi. Kampanya genelinde 64 kuruluşta toplam 78 kullanıcı hesabının tehlikeye girdiği gözlemlendi.
Parola püskürtme faaliyetinin büyük çoğunluğu LSHIY LLC’den kaynaklansa da, bazı IP adresleri ABD’ye, birkaçı ise Çin’e işaret ediyordu. Bu durum, saldırıların coğrafi dağılımının ne kadar karmaşık olabileceğini kanıtlıyor. Siber güvenlik araştırmacılarının raporlarına göre, kimlik bilgisi püskürtme saldırılarının hacmi genel müşteri tabanlarında 155 kattan fazla arttı. Özellikle Mayıs sonu ile Haziran başı arasında saldırılar zirve yaptı ve korumalı kiracılar için aylık ortalama 1.964 başarısız saldırı değeri kaydedildi.
Bu saldırılar, daha önce ihlal edilmiş ancak hiç değiştirilmemiş eski kullanıcı adı/parola kombinasyonlarını hedef alıyor gibi görünüyor. ROPC vektörünün kullanılması, saldırganların çok faktörlü kimlik doğrulama (MFA) uygulayan işletmeleri bile hedefleyebilmesi anlamına geliyordu, çünkü MFA, Azure CLI ROPC oturum açmaları için zorunlu kılınmamış veya yapılandırılmamıştı. Bu, yalnızca güçlü parolaların ve MFA’nın yeterli olmadığı, aynı zamanda bunların doğru bir şekilde yapılandırılması ve tüm erişim noktalarını kapsaması gerektiği gerçeğini acı bir şekilde ortaya koyuyor.
Türkiye ve Bulut Güvenliği Perspektifi: Yerel Etkiler
Türkiye’deki işletmeler, dijitalleşme ve bulut dönüşümü süreçlerinde Azure gibi platformlara yoğun bir şekilde yatırım yapıyor. Bu durum, söz konusu parola püskürtme saldırılarının Türkiye’deki kurumlar için de ciddi bir tehdit oluşturduğunu gösteriyor. Özellikle küçük ve orta ölçekli işletmeler (KOBİ’ler), siber güvenlik altyapılarını büyük kurumsal yapılar kadar sağlam kuramayabilirler. Onların da bu tür gelişmeleri yakından takip etmeleri ve güvenlik politikalarını gözden geçirmeleri hayati önem taşıyor.
Türk şirketlerinin, hassas verilerini ve operasyonel sistemlerini buluta taşırken, yalnızca platformun sunduğu genel güvenlik katmanlarına güvenmek yerine, kendi iç süreçlerini ve kimlik doğrulama mekanizmalarını da titizlikle incelemeleri gerekiyor. Birçok kuruluş, MFA’yı bir güvenlik garantisi olarak görse de, ROPC gibi gözden kaçan bir akışın bu korumayı nasıl devre dışı bırakabildiğini görmek, detaylara verilen önemin altını çiziyor. Yerel siber güvenlik danışmanlarının bu konuda proaktif bilgilendirme yapması ve destek sağlaması, genel Azure hesap güvenliği seviyesini artıracaktır.
Ülkemizdeki siber güvenlik uzmanlarının bu tür saldırı vektörlerini analiz etmesi ve yerel tehdit ortamına özgü önlemler geliştirmesi kaçınılmaz bir zorunluluk. Bulut güvenliği, sadece global ölçekte değil, her ülkenin kendi dinamikleri içinde ele alınması gereken bir konu. Bu saldırılar, Türkiye’deki kurumların da “kör noktaları” olup olmadığını sorgulaması için kritik bir fırsat sunuyor.
Azure Hesap Güvenliği İçin Ne Yapmalısınız?
Bu son saldırı dalgası, bulut tabanlı kimlik doğrulama sistemlerindeki potansiyel zayıflıkları bir kez daha ortaya koydu. Peki, kuruluşlar kendilerini bu tür gelişmiş saldırılara karşı nasıl koruyabilir?
- ROPC Kullanımını Gözden Geçirin: Kuruluşunuzda ROPC akışının kullanılıp kullanılmadığını hemen denetleyin. Kullanımdan kaldırılmış bu akışı kesinlikle devre dışı bırakın veya yalnızca mutlak zorunluluk durumlarında, sıkı denetim altında kullanın.
- Koşullu Erişim Politikalarını Güçlendirin: MFA’yı Azure CLI ROPC oturum açmaları da dahil olmak üzere tüm erişim noktalarında zorunlu kılacak şekilde Koşullu Erişim politikalarınızı yapılandırın. Politikalarınızın kapsamlı olduğundan ve tüm senaryoları kapsadığından emin olun.
- Çok Faktörlü Kimlik Doğrulamayı (MFA) Tam Olarak Uygulayın: MFA, bir güvenlik katmanı sunsa da, her erişim senaryosunda doğru bir şekilde yapılandırılmadığında etkisiz kalabilir. Tüm kullanıcılar ve tüm uygulama entegrasyonları için MFA’nın zorunlu ve aşılmaz olduğundan emin olun.
- Giriş Günlüklerini Düzenli Olarak Denetleyin: Anormal oturum açma denemeleri, başarılı olmayan girişimler veya olağan dışı coğrafi konumlardan gelen erişimler için günlüklerinizi titizlikle inceleyin. Otomatik izleme ve uyarı sistemlerini etkinleştirin.
- Kullanıcı Eğitimi ve Parola Hijyeni: Kullanıcılarınızı güçlü, benzersiz parolalar kullanmaları ve bunları düzenli olarak değiştirmeleri konusunda eğitin. Daha önce ihlal edilmiş parolaların kurumsal hesaplarda kullanılmasını engelleyin.
- Kimlik Koruma Çözümleri Kullanın: Gelişmiş kimlik koruma ve tehdit algılama çözümleri, parola püskürtme ve kimlik bilgisi doldurma saldırılarını proaktif olarak tespit edebilir ve engelleyebilir.
Bu adımlar, yalnızca acil durumlara müdahale etmekle kalmaz, aynı zamanda gelecekteki siber tehditlere karşı daha dirençli bir yapı kurmanıza da yardımcı olur. Unutmayın, siber güvenlik sürekli bir süreçtir ve asla tam anlamıyla “bitmez”.
Sık Sorulan Sorular
İlgili Makaleler
- ›Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor
- ›Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları