Microsoft Entra ID'de Kritik Güvenlik Açığı: Nested App Authentication ile MFA ve Tüm Koşullu Erişim Politikaları Aşılabiliyordu

Byrne, bu mekanizmada kritik bir kusur keşfetti. Güvenlik açığı, özellikle ADIbizaUX istemcisinin (Azure Portal'ın IAM yönetim bileşeni) önbelleğe alınmış bir Azure Portal yenileme token'ını kullanarak Microsoft Graph API için bir erişim token'ı talep ettiği akışları etkiliyordu . Normalde yenileme token'ı takas işlemleri, Koşullu Erişim değerlendirmesine tabidir. Ancak NetSPI, ADIbizaUX ile Microsoft Graph kaynağına karşı NAA akışı kullanıldığında Koşullu Erişim Politikalarının hiç değerlendirilmediğini tespit etti . Yapılandırılmış olan tüm politikalar hiçe sayılarak bir erişim token'ı oluşturuluyordu. Aynı atlatma davranışının iki farklı Microsoft Intune portal eklenti istemci kimliğinde de geçerli olduğu görüldü .

Saldırı Senaryosu: Ele Geçirilmiş Sisteme Sızma ve Tespit Edilmeden Kalıcılık

Saldırının belirli bir ön koşulu bulunuyor: Çalıntı bir Azure Portal yenileme token'ı . Bu gereklilik, açığı daha çok ele geçirilmiş bir sisteme sızma (post-compromise) ve burada kalıcılık sağlama (persistence) ve yanal hareket (lateral movement) için etkili bir yöntem haline getiriyor . Senaryo dört adımda gerçekleşiyor:

1. İlk Ele Geçirme: Saldırgan, örneğin bir kimlik avı (phishing) saldırısı, aradaki adam (AITM) proxy saldırısı veya başka bir token hırsızlığı yöntemiyle geçerli bir Azure Portal yenileme token'ını çalar .
2. NAA ile Token Alışverişi: Saldırgan, çalıntı Azure Portal yenileme token'ını ve NAA akışını (ADIbizaUX veya Intune portal eklentileri aracılığıyla) kullanarak sessizce bir Microsoft Graph erişim token'ı ile takas eder .
3. Tüm Kontrolleri Atlatma: Graph token'ı, herhangi bir Koşullu Erişim değerlendirmesi yapılmadan oluşturulur. Sistemde MFA, uyumlu cihaz veya lokasyon kısıtlaması gibi politikalar tanımlanmış olsa bile bu adım atlanır .
4. Kalıcılık ve Yanal Hareket: ADIbizaUX, geniş ve önceden onaylanmış Graph izinlerine sahiptir. Ayrıca kullanıcıları, grupları, hizmet sorumlularını, uygulamaları, dizinleri ve hatta Koşullu Erişim politikalarını yönetmek için belgelenmemiş API'lar sunar. Bu işlemler hiçbir günlük (log) kaydı tutulmadan yapıldığından, tespit edilmeleri neredeyse imkansızdır .

Bu güvenlik açığının bazı sınırlamaları bulunuyordu. Çalıntı Azure Portal yenileme token'ının 24 saatlik sabit bir ömrü vardır ve yenilenemez, bu da saldırganın kalıcılık penceresini sınırlar . Saldırganın zaten bir kullanıcının yenileme token'ına sahip olması gerektiği için bu, bir uzaktan kod çalıştırma değil, ele geçirilmiş sisteme sızma ve kalıcılık yöntemidir . Yine de Microsoft Güvenlik Yanıt Merkezi (MSRC) bu açığı orta seviye (medium severity) olarak sınıflandırdı .

Microsoft'un Yanıtı: CVE'siz Sunucu Tarafı Çözümü

NetSPI, sorunu 17 Mart 2026'da MSRC'ye bildirdi . MSRC, sorunu orta seviye bir güvenlik açığı olarak sınıflandırdı ve sunucu tarafında bir düzeltme yayınladı. Düzeltme sonrası yapılan testler, daha önce başarılı olan NAA akışlarının artık Koşullu Erişim politikası devredeyken AADSTS53003 hata koduyla doğru bir şekilde engellendiğini gösterdi . Microsoft bu sorun için herhangi bir CVE numarası atamadı ve düzeltme herhangi bir müşteri eylemi gerektirmedi .

Daha Geniş Bağlam: Aynı Gün Açıklanan İki Koşullu Erişim Atlatma Yöntemi

22 Haziran 2026'da araştırmacılar, aynı gün içinde iki farklı Entra Koşullu Erişim atlatma yöntemini duyurdular :

2026'da Microsoft'un Daha Geniş Koşullu Erişim Değişiklikleri

Microsoft, NAA açığını düzeltmenin yanı sıra 2026 yılı boyunca Koşullu Erişim uygulamasındaki boşlukları kademeli olarak kapatıyor:

• 27 Mart 2026 – Haziran 2026 (aşamalı): Microsoft, "Tüm kaynaklar"ı hedef alan CA politikalarının kaynak hariç tutma durumunda nasıl uygulandığını değiştirdi. Daha önce, yalnızca temel OIDC kapsamları (openid, profile, User.Read gibi) isteyen oturum açma işlemleri, eğer politikada herhangi bir kaynak hariç tutma varsa Koşullu Erişimi tamamen atlayabiliyordu. Bu değişiklikle, hariç tutmalar olsa bile politikalar "Tüm kaynaklar" kapsamına göre değerlendirilecek . Microsoft, etkilenen kiracıları MC1223829 numaralı Mesaj Merkezi girişiyle bilgilendirdi .
• 15 Haziran 2026: Microsoft, Dirk-jan Molenaar'ın açıkladığı Graph token atlatma yolunu kapatan Temel Kapsam zorunluluğunu uygulamaya başladı .
• 31 Mart 2026: Microsoft, Microsoft'a ait olmayan çok kiracılı uygulamalar için hizmet sorumlusuz kimlik doğrulamanın (service principal-less authentication) kullanımdan kaldırılmasını zorunlu kıldı. Tüm uygulamalar kayıtlı bir hizmet sorumlusu kullanarak kimlik doğrulamalıdır; aksi takdirde oturum açma işlemleri başarısız olacaktır .
• Haziran 2026: Microsoft, Özel kontrollerin Harici MFA ile değiştirilmesi, kimlik bilgisi kaydı sırasında Koşullu Erişimin tutarlı bir şekilde uygulanması ve Self-Service Parola Sıfırlama (SSPR) için açıkça kayıtlı kimlik doğrulama yöntemlerinin zorunlu kılınması dahil olmak üzere daha geniş Entra ID güvenlik güncellemelerini duyurdu .

Savunmacılar İçin Önemli Çıkarımlar

• NAA açığı sunucu tarafında düzeltildi. NetSPI'nin bulgusu için kiracı tarafında herhangi bir işlem yapılmasına gerek yoktur .
• Kaynak hariç tutma açığı için, doğru CA değerlendirmesi sağlamak amacıyla Entra Admin Center'da Temel Kapsam zorunluluğu seçeneğini etkinleştirin .
• Artık yetkisiz NAA tabanlı token alışverişlerini doğru bir şekilde engelleyen AADSTS53003 hata kodunu izleyin .
• ADIbizaUX tarafından sunulan ve günlük kaydı olmadan çalışabilen belgelenmemiş API'lar bir endişe kaynağı olmaya devam etmektedir. Kuruluşlar Azure Portal oturum açma günlüklerini ve token oluşturma modellerini yakından izlemelidir .
• 31 Mart 2026 itibarıyla hizmet sorumlusuz kimlik doğrulama kullanımdan kaldırıldığı için, tüm çok kiracılı uygulamaların kayıtlı hizmet sorumlularına sahip olduğundan emin olun .