Sosyal Mühendislik Saldırılarında OWA (Outlook Web Access)

Microsoft posta (Exchange) sunucuları e-posta alışverişlerinde kullanılan bir sistemdir. Kurumlarda, kullanıcıların (personelin) e-posta işlemlerini, başta Microsoft Outlook uygulaması ve Outlook Web Access olmak üzere yapabileceği birçok yol vardır. Posta işlemlerinin internet erişimi olan her yerde kullanılabilmesi ve web tarayıcı haricinde bir uygulamaya bağımlılığı olmaması OWA’nın önemini arttırmaktadır. Bu yazıda kurumlar için önemli olan OWA servisinin Sosyal Mühendislik saldırılarında kullanılmasını engelleyici birkaç önlem sunabilmektir.

OWA ile tarayıcıda kimlik doğrulama işlemleri gerçekleştirildikten sonra, posta sunucusundaki postalar okunabilir, posta sunucusu üzerinden e-posta gönderilebilir, posta kişileri düzenlenebilir, görev ve kurallar oluşturulabilir, randevu işlemleri gerçekleştirilebilir, takvim işlemleri yapılabilir, yetkilere göre ortak klasörlere (Public Folders) erişim sağlanabilir. Bu işlemlerin hepsi herhangi bir ayar yapılmadan internete açık bir mail hesabı (gmail, hotmail vb.) kullanılıyormuş gibi gerçekleştirilebilir. OWA’nın sadece bu özelliği bile göz önüne alındığında, erişilebilirlik, kullanılabilirlik ve transparanlık açısından cazip hale gelmektedir. Aslında OWA, arka planda çok daha fazlasını sağlamaktadır.

Sosyal mühendislik saldırıları ile ele geçirilecek bir mail hesabıyla hem kuruma ait bilgiler hem de kişilerin özlük bilgileri saldırganın eline geçebilmektedir. Bu durum daha sofistike saldırılara zemin hazırlayabilmektedir. Genelde kurulumdan sonra, varsayılan olarak gelen OWA sayfası aşağıdaki gibidir. Bu sayfanın bir kopyasını yapmak oldukça kolaydır. Firefox’un bir özelliği ile veya HTTrack gibi programlarla, bir web ara yüzü bütün görselliğiyle locale kaydedilebilmektedir. Daha sonra saldırılar da kullanılmak üzere hazırlanmış bir sunucu üzerinden, sanki o web ara yüzünün host edildiği gerçek sunucuymuş gibi internete açılıp yayın yapılabilmektedir.

owa-outlook-web-application-attacks-on-social-engineering-penetration-tests-01

OWA kullanılarak gerçekleştirilen örnek bir Sosyal Mühendislik senaryosu şöyledir;

Bütün görselliği ile hazırlanan sahte sayfa saldırganın kendi sunucusu üzerinden internete açılır. Daha sonra aşağıdaki gibi bir phising maili ile kullanıcılar kandırılmaya çalışılır. Kandırılan kullanıcıların, mailin içerisindeki linke gitmeleri sağlanır.

owa-outlook-web-application-attacks-on-social-engineering-penetration-tests-02

Kullanıcılar linke tıkladıklarında her sabah maillerine giriş yapabilmek için kullandıkları bir ara yüz ile karşılaşırlar. Bu yüzden de hiçbir şekilde şüphe duymadan kullanıcı adları ve parolalarını girerler. Saldırgan da sahte sayfaya girilen verileri kendi veritabanına kaydeder ve artık o kişilerin mail hesaplarını ele geçirmiş olur.

Böyle bir saldırıyı bertaraf edebilmek için öncelikle kullanıcıların güvenlik bilincinin yüksek olması gerekmektedir. Yani teknik önlemlerden ziyade, önce kullanıcılar seviyesinde birtakım önlemler alınmalıdır. Gelen her mail ekinin açılmaması ya da mail içerisinde verilen linklere tıklanılmamasının gerektiği anlatılmalıdır.

Teknik olarak alınabilecek önlem ise, OWA sayfasına login olurken kullanıcı adı parola dışında kullanıcıya özel farklı bir bilginin daha sisteme girilmesinin sağlanmasıdır. Bu, telefonumuza gelecek tek kullanımlık bir SMS şifresi ile yapılabileceği gibi OTP (One Time Password) cihazı ile de sağlanabilir. Hatta [1] numaralı referansın işaret ettiği videodan ve aşağıdaki görüntülerden de anlaşılabileceği gibi farklı bir cihazın yanında Web tabanlı olarak da bu işlemler yapılabilmektedir.

owa-outlook-web-application-attacks-on-social-engineering-penetration-tests-03

 

owa-outlook-web-application-attacks-on-social-engineering-penetration-tests-04

 

Böylece kullanıcı adı parola bilgileri saldırgan tarafından alınmış olsa bile diğer istenen bilgi sadece kullanıcının kendisinde olacağı için saldırı başarıya ulaşmamış olacaktır.

Bir diğer önlem, yukarıdaki kadar kesin bir çözüm sunmasa da OWA sayfasını varsayılan olarak bırakmamaktır. Kuruma özel bazı yazı veya simgeler, taklit edilmesi zor olan renkler kullanılarak özelleştirilmiş bir OWA sayfası tasarlamaktır. Böyle bir tasarım, sayfanın taklit edilmesini zorlaştıracak ve kullanılan renklerin tam olarak uyuşmamasını sağlayabilecektir.

owa-outlook-web-application-attacks-on-social-engineering-penetration-tests-05

Böylece phising maili içerisindeki linke tıklamış olan bir kullanıcı, biraz dikkatli olması sonucunda karşısına gelen sayfanın sahte olduğunu anlayabilir ve saldırı başarıya ulaşmamış olur.

OWA servisinin uğrayabileceği bir diğer saldırı çeşidi de kaba kuvvet (Brute Force) saldırılarıdır. Bilindiği gibi bu saldırı tek tek kullanıcı adı parola tahmini ile yapılabildiği gibi, havuzdan kullanıcı adı parola bilgisini çekip girdi alanlarına yazabilen bir bot kullanılarak da yapılabilir. İkinci yol daha çok tercih edilir.

OWA üzerinde kaba kuvvet saldırılarına karşı alınabilecek en iyi önlemlerden biri “Captcha Validation”’dır.

Captcha, web sitelerine kayıt sırasında veya girişte, isteği gönderenin gerçekten bir insan mı yoksa zararlı bir yazılım mı olduğunu tespit etmek için kullanılan programlara denir. Captcha kullanımı, bozulmuş yazıların insanlar tarafından okunabildiği halde zararlı yazılımlar tarafından okunamadığı varsayımına dayanmaktadır.[3]

owa-outlook-web-application-attacks-on-social-engineering-penetration-tests-06

Böylece, Captcha kullanımı ile botlarla yapılan kaba kuvvet saldırısı bertaraf edilebilir.

 

Kaynaklar:

[1] http://www.youtube.com/watch?v=EHMmblOMCuQ
[2] http://www.secureauth.com/wp-content/files_mf/3015secureauthowasolutionbrief8.11.pdf
[3] http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/captcha-kullanimi.html
[4] http://www.mshowto.org/owa-icin-captcha-validation-kullanimi.html

 

 

Yazarın Bilgileri

Abdulkerim Demir
Abdulkerim Demir

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.