hadicanim
Aktif Üye
Suçluların ağlara daha fazla erişim sağlamak için kullandıkları, sıklıkla gözlemlenen bir saldırı vektörü, Microsoft'un NTLM aktarma adı verilen ağ protokolü NTLM'nin yeniden yönlendirilmesidir. Kimlik doğrulama için erişim verileri, saldırganların erişip kötüye kullanabileceği NTLM aracılığıyla iletilir. Microsoft artık bu tür saldırıları varsayılan olarak önemli ölçüde daha zor hale getirmek istiyor.
Reklamcılık
Microsoft'un bir blog yazısında belirttiği gibi, üretici artık erişim verilerini daha iyi korumak için “Kimlik Doğrulama için Genişletilmiş Koruma”ya (kısaca EPA) güveniyor. Bu, siber suçluların CVE-2024-21410 güvenlik açığını CVSS puanıyla keşfetmesinin ardından Şubat ayından bu yana Exchange sunucularında varsayılan olarak kullanılıyor. 9.8 gibi kritik Risk olarak sınıflandırılan kişiler, haklarını genişletmek için onları aktif olarak istismar etti. Microsoft ayrıca EPA korumasını da NTLM Kimlik Bilgileri Aktarma Koruması olarak adlandırdı.
Kimlik Doğrulama için Genişletilmiş Koruma standart hale geliyor
Geçtiğimiz ayın başında piyasaya sürülen Windows Server 2025 de özellikle “Active Directory Sertifika Hizmetleri” (AD CS) için böyle bir koruma aldı. Aynı nedenden ötürü, LDAP kanal bağlama, Server 2025'te varsayılan olarak etkindir. Bu uzantıların birlikte, üç şirket içi hizmet olan Exchange, AD CS ve LDAP için NTLM geçiş saldırıları riskini varsayılan olarak önemli ölçüde azaltması amaçlanır.
NTLM aktarma saldırıları genellikle iki aşamada gerçekleşir. İlk olarak, saldırganlar kurbanları keyfi uç noktalara giriş yapmaları için kandırıyor. Daha sonra kimlik doğrulamayı savunmasız bir hedefe yönlendirirler. Yönlendirme, saldırganların kurbanlarının kimliğine bürünmesine ve onlar adına eylemler gerçekleştirmesine olanak tanır. Bu onlara ağın daha fazla tehlikeye atılması için kapıya adım atmalarını sağlar. Microsoft'un yaklaşımı artık oturum açma işlemlerini herhangi bir uç noktayla sınırlamak yönünde. EPA ve kanal bağlama ile istemciler yalnızca belirli sunucularda oturum açabilir. Bu nedenle NTLM geçiş saldırılarına karşı savunmada önemli bir rol oynarlar. İleriye dönük olarak Microsoft, NTLM'nin kullanımdan kaldırılmış bir protokol olarak kabul edildiğini beyan eder ve buna göre kullanıcıların Windows'un gelecek sürümlerinde devre dışı bırakılmasına hazırlanmalarını önerir. Kerberos gibi daha modern kimlik doğrulama protokolleri kullanılmalıdır. Bu arada Microsoft, NTLM'yi farklı stratejilerle en azından sağlamlaştırmaya çalışıyor.
Yeni NTLM karma sızıntısı
Geçtiğimiz hafta Windows'ta sürüm 7 ve Server 2008 R2'den mevcut Windows sürüm 11 24H2 ve Server 2022'ye kadar saldırganların NTLM kimlik bilgilerine erişmesine olanak tanıyan bir güvenlik açığı keşfedildi. Güvenlik açığı 0patch tarafından keşfedildi ve bir blog yazısında bildirildi. Yapmanız gereken tek şey, örneğin bir ağ paylaşımını, bir USB çubuğunu veya saldırganın web sitesinden otomatik olarak indirilen böyle bir dosyanın bulunduğu indirme klasörünü açarak, kurbanların kötü amaçlı bir dosyayı Windows Gezgini'nde görüntülemelerini sağlamaktır. Windows Server 2025'in savunmasız sistemler listesinde yer almaması, Microsoft'un karşı önlemlerinin işe yaradığının bir göstergesi gibi görünüyor. Bu nedenle yöneticiler, mevcut olduğu yerlerde EPA'yı etkinleştirmelidir.
Güncelliğini yitirmiş NTLM, tüm Windows ağlarında kalıcı bir tehlike kaynağıdır. Bu durum önümüzdeki yıllarda da devam edecek ve yöneticilerin hedefe yönelik önlemler alması gerekiyor. Çünkü Petit Potam gibi “Yamalamayacak” boşluklar veya yukarıda bahsedilen mevcut NTLM açıklama boşluğu düzenli olarak belirsizliğe neden oluyor. PRO üyelerimizin hala medya kütüphanesinden izleyebileceği “NTLM: Microsoft'un orijinal günahı ve yöneticilerin bununla nasıl mantıklı bir şekilde başa çıktığı” başlıklı güvenlik web seminerimizde yöneticilerin kendilerini nasıl doğru bir şekilde konumlandırdıklarını yakın zamanda açıklamıştık.
(DMK)
Reklamcılık
Microsoft'un bir blog yazısında belirttiği gibi, üretici artık erişim verilerini daha iyi korumak için “Kimlik Doğrulama için Genişletilmiş Koruma”ya (kısaca EPA) güveniyor. Bu, siber suçluların CVE-2024-21410 güvenlik açığını CVSS puanıyla keşfetmesinin ardından Şubat ayından bu yana Exchange sunucularında varsayılan olarak kullanılıyor. 9.8 gibi kritik Risk olarak sınıflandırılan kişiler, haklarını genişletmek için onları aktif olarak istismar etti. Microsoft ayrıca EPA korumasını da NTLM Kimlik Bilgileri Aktarma Koruması olarak adlandırdı.
Kimlik Doğrulama için Genişletilmiş Koruma standart hale geliyor
Geçtiğimiz ayın başında piyasaya sürülen Windows Server 2025 de özellikle “Active Directory Sertifika Hizmetleri” (AD CS) için böyle bir koruma aldı. Aynı nedenden ötürü, LDAP kanal bağlama, Server 2025'te varsayılan olarak etkindir. Bu uzantıların birlikte, üç şirket içi hizmet olan Exchange, AD CS ve LDAP için NTLM geçiş saldırıları riskini varsayılan olarak önemli ölçüde azaltması amaçlanır.
NTLM aktarma saldırıları genellikle iki aşamada gerçekleşir. İlk olarak, saldırganlar kurbanları keyfi uç noktalara giriş yapmaları için kandırıyor. Daha sonra kimlik doğrulamayı savunmasız bir hedefe yönlendirirler. Yönlendirme, saldırganların kurbanlarının kimliğine bürünmesine ve onlar adına eylemler gerçekleştirmesine olanak tanır. Bu onlara ağın daha fazla tehlikeye atılması için kapıya adım atmalarını sağlar. Microsoft'un yaklaşımı artık oturum açma işlemlerini herhangi bir uç noktayla sınırlamak yönünde. EPA ve kanal bağlama ile istemciler yalnızca belirli sunucularda oturum açabilir. Bu nedenle NTLM geçiş saldırılarına karşı savunmada önemli bir rol oynarlar. İleriye dönük olarak Microsoft, NTLM'nin kullanımdan kaldırılmış bir protokol olarak kabul edildiğini beyan eder ve buna göre kullanıcıların Windows'un gelecek sürümlerinde devre dışı bırakılmasına hazırlanmalarını önerir. Kerberos gibi daha modern kimlik doğrulama protokolleri kullanılmalıdır. Bu arada Microsoft, NTLM'yi farklı stratejilerle en azından sağlamlaştırmaya çalışıyor.
Yeni NTLM karma sızıntısı
Geçtiğimiz hafta Windows'ta sürüm 7 ve Server 2008 R2'den mevcut Windows sürüm 11 24H2 ve Server 2022'ye kadar saldırganların NTLM kimlik bilgilerine erişmesine olanak tanıyan bir güvenlik açığı keşfedildi. Güvenlik açığı 0patch tarafından keşfedildi ve bir blog yazısında bildirildi. Yapmanız gereken tek şey, örneğin bir ağ paylaşımını, bir USB çubuğunu veya saldırganın web sitesinden otomatik olarak indirilen böyle bir dosyanın bulunduğu indirme klasörünü açarak, kurbanların kötü amaçlı bir dosyayı Windows Gezgini'nde görüntülemelerini sağlamaktır. Windows Server 2025'in savunmasız sistemler listesinde yer almaması, Microsoft'un karşı önlemlerinin işe yaradığının bir göstergesi gibi görünüyor. Bu nedenle yöneticiler, mevcut olduğu yerlerde EPA'yı etkinleştirmelidir.
Güncelliğini yitirmiş NTLM, tüm Windows ağlarında kalıcı bir tehlike kaynağıdır. Bu durum önümüzdeki yıllarda da devam edecek ve yöneticilerin hedefe yönelik önlemler alması gerekiyor. Çünkü Petit Potam gibi “Yamalamayacak” boşluklar veya yukarıda bahsedilen mevcut NTLM açıklama boşluğu düzenli olarak belirsizliğe neden oluyor. PRO üyelerimizin hala medya kütüphanesinden izleyebileceği “NTLM: Microsoft'un orijinal günahı ve yöneticilerin bununla nasıl mantıklı bir şekilde başa çıktığı” başlıklı güvenlik web seminerimizde yöneticilerin kendilerini nasıl doğru bir şekilde konumlandırdıklarını yakın zamanda açıklamıştık.
(DMK)