Siber Güvenlik

Azure Hesap Güvenliği Krizde: Milyonlarca Deneme, Onlarca İhlal

Son dönemde yaşanan büyük ölçekli bir saldırı, Azure hesap güvenliği konusunu tekrar gündeme taşıdı. Siber güvenlik uzmanları, Microsoft’un Azure komut satırı arayüzüne (CLI) yönelik “devam eden, otomatik ve büyük bir parola püskürtme saldırısı” konusunda uyarıyor. Bu kapsamlı kampanya, onlarca Microsoft hesabının tehlikeye girmesine neden oldu; bulut altyapılarının ne denli kırılgan olabileceğini bir kez daha gösterdi.

Bu saldırı dalgası, bulut tabanlı hizmetlerin siber güvenlik risklerine karşı ne kadar hassas olduğunu gözler önüne seriyor. Kuruluşlar, dijital dönüşüm süreçlerinde bulut platformlarına bağımlılıklarını artırırken, bu tür tehditlerin ciddiyetini kavramak zorundalar. Peki, bu saldırı tam olarak nasıl işledi ve arkasındaki aktörler kimlerdi?

Ölçek ve Mekanizma: Gizli Bir Saldırı Dalı

Saldırıların arkasındaki tehdit aktörleri, internet altyapı sağlayıcısı LSHIY LLC (AS32167) tarafından kontrol edilen bir IPv6 adres aralığından (2a0a:d683::/32) hareket etti. 12 Haziran ile 26 Haziran 2026 tarihleri arasında, bu aktörler 81 milyondan fazla oturum açma denemesi gerçekleştirdi. Bu devasa çabanın sonucunda, 64 farklı kuruluşa ait en az 78 Microsoft hesabı başarıyla ele geçirildi. Bu, yalnızca sayısal bir büyüklük değil, aynı zamanda hedeflenen siber saldırıların ulaştığı cüretkar seviyenin de bir göstergesi değil mi?

Saldırıyı özellikle kayda değer kılan, ele geçirilen kuruluşların çoğunun Koşullu Erişim (Conditional Access) politikalarını etkinleştirmiş olmasıydı. Tehdit aktörleri, OAuth 2.1 ile kullanımdan kaldırılan, ancak hâlâ bazı sistemlerde bulunabilen Kaynak Sahibi Parola Kimlik Bilgileri (ROPC – Resource Owner Password Credentials) adında eski bir OAuth akışını kullanarak bu korumaları aşmayı başardı. ROPC, kullanıcıların doğrudan istemci uygulamasına kullanıcı adı ve şifrelerini girmesine olanak tanıyan, daha sonra bu kimlik bilgilerinin bir erişim belirteci almak için yetkilendirme sunucusuna gönderildiği bir tür eski OAuth 2.0 yetki türüdür.

Microsoft’un kendi dokümantasyonunda ROPC akışının çok faktörlü kimlik doğrulama (MFA) ile uyumsuz olduğu ve çoğu senaryoda daha güvenli alternatiflerin mevcut ve önerildiği belirtilmiştir. Bu akış, uygulamaya çok yüksek derecede güven gerektirir ve diğer akışlarda bulunmayan riskler taşır. Yalnızca daha güvenli akışların mümkün olmadığı durumlarda kullanılması tavsiye edilir.

Bu durum, şirketlerin güvenlik politikalarını yalnızca uygulamanın ötesine taşıyarak, eski ve güncel olmayan kimlik doğrulama yöntemlerini de denetlemesi gerektiğini gösteriyor. Zayıf noktalar her zaman beklenmedik yerlerde mi ortaya çıkar?

Zaman Çizelgesi ve Hedef Profili: Kimler Risk Altında?

Kimlik bilgisi ve belirteç püskürtme saldırıları, 12 Haziran ile 21 Haziran 2026 tarihleri arasında günde birkaç başarılı oturum açma ile sonuçlandı; her gün ortalama iki ila dört hesap ele geçirildi. Ancak 19 Haziran’da bu sayı 12 kullanıcı hesabına yükseldi. Bu düzenli ritim, 22 Haziran’da önemli ölçüde değişti; 23 işletmede 30 kimlik etkilendi. Kampanya genelinde 64 kuruluşta toplam 78 kullanıcı hesabının tehlikeye girdiği gözlemlendi.

Parola püskürtme faaliyetinin büyük çoğunluğu LSHIY LLC’den kaynaklansa da, bazı IP adresleri ABD’ye, birkaçı ise Çin’e işaret ediyordu. Bu durum, saldırıların coğrafi dağılımının ne kadar karmaşık olabileceğini kanıtlıyor. Siber güvenlik araştırmacılarının raporlarına göre, kimlik bilgisi püskürtme saldırılarının hacmi genel müşteri tabanlarında 155 kattan fazla arttı. Özellikle Mayıs sonu ile Haziran başı arasında saldırılar zirve yaptı ve korumalı kiracılar için aylık ortalama 1.964 başarısız saldırı değeri kaydedildi.

Bu saldırılar, daha önce ihlal edilmiş ancak hiç değiştirilmemiş eski kullanıcı adı/parola kombinasyonlarını hedef alıyor gibi görünüyor. ROPC vektörünün kullanılması, saldırganların çok faktörlü kimlik doğrulama (MFA) uygulayan işletmeleri bile hedefleyebilmesi anlamına geliyordu, çünkü MFA, Azure CLI ROPC oturum açmaları için zorunlu kılınmamış veya yapılandırılmamıştı. Bu, yalnızca güçlü parolaların ve MFA’nın yeterli olmadığı, aynı zamanda bunların doğru bir şekilde yapılandırılması ve tüm erişim noktalarını kapsaması gerektiği gerçeğini acı bir şekilde ortaya koyuyor.

Türkiye ve Bulut Güvenliği Perspektifi: Yerel Etkiler

Türkiye’deki işletmeler, dijitalleşme ve bulut dönüşümü süreçlerinde Azure gibi platformlara yoğun bir şekilde yatırım yapıyor. Bu durum, söz konusu parola püskürtme saldırılarının Türkiye’deki kurumlar için de ciddi bir tehdit oluşturduğunu gösteriyor. Özellikle küçük ve orta ölçekli işletmeler (KOBİ’ler), siber güvenlik altyapılarını büyük kurumsal yapılar kadar sağlam kuramayabilirler. Onların da bu tür gelişmeleri yakından takip etmeleri ve güvenlik politikalarını gözden geçirmeleri hayati önem taşıyor.

Türk şirketlerinin, hassas verilerini ve operasyonel sistemlerini buluta taşırken, yalnızca platformun sunduğu genel güvenlik katmanlarına güvenmek yerine, kendi iç süreçlerini ve kimlik doğrulama mekanizmalarını da titizlikle incelemeleri gerekiyor. Birçok kuruluş, MFA’yı bir güvenlik garantisi olarak görse de, ROPC gibi gözden kaçan bir akışın bu korumayı nasıl devre dışı bırakabildiğini görmek, detaylara verilen önemin altını çiziyor. Yerel siber güvenlik danışmanlarının bu konuda proaktif bilgilendirme yapması ve destek sağlaması, genel Azure hesap güvenliği seviyesini artıracaktır.

Ülkemizdeki siber güvenlik uzmanlarının bu tür saldırı vektörlerini analiz etmesi ve yerel tehdit ortamına özgü önlemler geliştirmesi kaçınılmaz bir zorunluluk. Bulut güvenliği, sadece global ölçekte değil, her ülkenin kendi dinamikleri içinde ele alınması gereken bir konu. Bu saldırılar, Türkiye’deki kurumların da “kör noktaları” olup olmadığını sorgulaması için kritik bir fırsat sunuyor.

Azure Hesap Güvenliği İçin Ne Yapmalısınız?

Bu son saldırı dalgası, bulut tabanlı kimlik doğrulama sistemlerindeki potansiyel zayıflıkları bir kez daha ortaya koydu. Peki, kuruluşlar kendilerini bu tür gelişmiş saldırılara karşı nasıl koruyabilir?

  • ROPC Kullanımını Gözden Geçirin: Kuruluşunuzda ROPC akışının kullanılıp kullanılmadığını hemen denetleyin. Kullanımdan kaldırılmış bu akışı kesinlikle devre dışı bırakın veya yalnızca mutlak zorunluluk durumlarında, sıkı denetim altında kullanın.
  • Koşullu Erişim Politikalarını Güçlendirin: MFA’yı Azure CLI ROPC oturum açmaları da dahil olmak üzere tüm erişim noktalarında zorunlu kılacak şekilde Koşullu Erişim politikalarınızı yapılandırın. Politikalarınızın kapsamlı olduğundan ve tüm senaryoları kapsadığından emin olun.
  • Çok Faktörlü Kimlik Doğrulamayı (MFA) Tam Olarak Uygulayın: MFA, bir güvenlik katmanı sunsa da, her erişim senaryosunda doğru bir şekilde yapılandırılmadığında etkisiz kalabilir. Tüm kullanıcılar ve tüm uygulama entegrasyonları için MFA’nın zorunlu ve aşılmaz olduğundan emin olun.
  • Giriş Günlüklerini Düzenli Olarak Denetleyin: Anormal oturum açma denemeleri, başarılı olmayan girişimler veya olağan dışı coğrafi konumlardan gelen erişimler için günlüklerinizi titizlikle inceleyin. Otomatik izleme ve uyarı sistemlerini etkinleştirin.
  • Kullanıcı Eğitimi ve Parola Hijyeni: Kullanıcılarınızı güçlü, benzersiz parolalar kullanmaları ve bunları düzenli olarak değiştirmeleri konusunda eğitin. Daha önce ihlal edilmiş parolaların kurumsal hesaplarda kullanılmasını engelleyin.
  • Kimlik Koruma Çözümleri Kullanın: Gelişmiş kimlik koruma ve tehdit algılama çözümleri, parola püskürtme ve kimlik bilgisi doldurma saldırılarını proaktif olarak tespit edebilir ve engelleyebilir.

Bu adımlar, yalnızca acil durumlara müdahale etmekle kalmaz, aynı zamanda gelecekteki siber tehditlere karşı daha dirençli bir yapı kurmanıza da yardımcı olur. Unutmayın, siber güvenlik sürekli bir süreçtir ve asla tam anlamıyla “bitmez”.

Sık Sorulan Sorular

Azure CLI parola püskürtme saldırısı nedir?

Bu, saldırganların milyonlarca farklı parola denemesini otomatik araçlarla Azure CLI aracılığıyla sisteme göndererek geçerli bir kullanıcı adı ve parola kombinasyonu bulmaya çalıştığı bir siber saldırı türüdür.

ROPC akışı neden tehlikelidir ve nasıl önlenir?

ROPC (Resource Owner Password Credentials) akışı, kullanıcı kimlik bilgilerini doğrudan uygulamaya ifşa ettiği için çok faktörlü kimlik doğrulama (MFA) ile uyumlu değildir ve kullanımdan kaldırılmıştır. Kuruluşlar, bu akışı Azure'da devre dışı bırakarak ve Koşullu Erişim politikalarını güçlendirerek kendilerini korumalıdır.

Azure hesap güvenliği için kuruluşlar hangi önlemleri almalı?

Kuruluşlar, ROPC kullanımını durdurmalı, tüm erişim noktalarında MFA'yı zorunlu kılmalı, güçlü Koşullu Erişim politikaları uygulamalı, giriş günlüklerini sürekli denetlemeli ve kullanıcılarını parola hijyeni konusunda eğitmeli.

Özlem Özen

Merhaba, ben Özlem Özen. İçerik üreticisi olarak dijital dünyada bilgi, deneyim ve ilham verici içerikleri insanlarla buluşturmayı hedefliyorum. Sosyal medya, yaşam, kişisel gelişim, güncel trendler ve ilgi duyduğum farklı konular üzerine içerikler üreterek takipçilerime değer katmaya çalışıyorum. İçerik üretimini yalnızca paylaşım yapmak olarak değil, insanlarla anlamlı bir bağ kurmanın bir yolu olarak görüyorum. Bu nedenle hazırladığım her içerikte samimiyet, güvenilirlik ve fayda sağlamayı ön planda tutuyorum. Sürekli öğrenmeye, kendimi geliştirmeye ve değişen dijital dünyaya uyum sağlamaya önem veriyorum. Amacım; bilgi veren, düşündüren ve ilham kaynağı olan içeriklerle daha geniş kitlelere ulaşmak ve dijital platformlarda kalıcı bir değer oluşturmak. Üretmeye, öğrenmeye ve paylaşmaya duyduğum tutkuyla içerik yolculuğuma devam ediyorum.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu