hadicanim
Aktif Üye
Bir saldırıdan sonra veya tehlikeye atılan erişim verilerini biliyorsanız, yönetici şifrelerini iptal edin ve malign aktörlerin büyüleyici verilere kaydolamayacak şekilde yeniden ayarlanmasını sağlayın. Uzak Masaüstü Protokolü (RDP) ile erişim etkinleştirilirse, bu sadece yardımcı olmaz: eski şifreler burada geçerli kalır.
Arstechnica bu beklenmedik davranışı rapor ediyor. Buna göre, BT güvenlik araştırmacısı Daniel Wade bu davranışı Microsoft Güvenlik Yanıt Merkezi'ne (MSRC) bildirdi. Ona göre, RDP'deki eski erişim verileri, yepyeni makinelerde bile çalışmaya devam ediyor. Yaşlı insanlar hala çalışırken daha yeni şifreler göz ardı edilebilir. Ne Windows Defender ne de Entra Kimliği veya Azure uyarılar vermez. Kullanıcıların bu sorunu ortaya çıkarması ve düzeltmeleri için net bir yol yoktur. Microsoft bu senaryoyu doğrudan belgelemez.
Microsoft: “Tasarım Kararı” “Zayıflık” tanımını yapmaz
Microsoft'a göre, “sistemin ne kadar süre olursa olsun, en az bir kullanıcı hesabının kaydedilebilmesini sağlayan bir tasarım kararı”. Bu nedenle, bu davranış zayıf bir nokta tanımını yapmaz. Microsoft'un hiçbir şeyi değiştirme planı yok.
RDP, (Windows) makinelerinden ve yerel bir bilgisayarda çalışmak için uzaktan kayıt yapmak için kullanılır. Bunu yapmak için yazılım masaüstü çıkışını kaldırılan makineye aktarır. Bir bilgisayar Microsoft veya Azure hesabı ile uzaktan erişimi etkinleştiriyorsa, kullanıcılar RDP aracılığıyla bir şifreye kaydolabilir. Bu, yerel olarak saklanan erişim verileriyle karşılaştırılır. Alternatif olarak, yerel kullanıcıların PC'ye kaydoldukları çevrimiçi hesaba kaydolabilirsiniz.
Ancak, kullanıcılar değiştirmiş olsa bile, uzaktan erişim şifresi geçerli kalır. Sonuç olarak, eski şifreler bazı durumlarda çalışabilir ve daha yeni olmayabilir. Sonunda kalıcı bir RDP erişimi, bulut doğrulaması, çok faktörlü kimlik doğrulama ve erişim kontrol yönergeleri vardır. Wade, raporunda büyük ölçüde formüle ediyor: “Bu, bir şifrenin yakalandığı her sistemde sessiz, uzak bir arka kapı (arka kapı) yaratıyor. Saldırganların sisteme hiç erişmese bile, Windows şifreye güveniyor.”
Sorunun nedeni “kimlik bilgisi önbellekleme”
Nedeni, erişim verilerini kaydetmektir (kimlik bilgisi önbellekleme). Bir Microsoft veya Azure hesabına kaydolurken, RDP şifreyi çevrimiçi olarak doğrular. Windows daha sonra Access verilerini PC'de veya dizüstü bilgisayarda yerel olarak kriptografik olarak güvence altına alır. Oradan, Windows, bir RDP toplantısının her şifresini çevrimiçi bir test olmadan yerel olarak kaydedilen erişim verilerine karşı kontrol eder. Bu nedenle, iptal edilen şifreler RDP aracılığıyla da erişim sağlar.
Windows oturum açma senaryolarına çevrimiçi belgelerin güncellenmesi ile Microsoft, Wades Güvenlik Raporuna tepki gösterdi. “Kullanıcı yerel bir oturum açma çalıştırırsa, erişim verileriniz internetteki kimlik sağlayıcısı aracılığıyla kimlik doğrulamasından önce bir ara kopyaya karşı yerel olarak doğrulanır. Oradaki şirket şimdi yerel makinenize eski şifreyle erişebileceğinizi yazıyor.
BT güvenlik araştırmacısı Dormann'ın çoğu yöneticiyi tanımak kolay değildir ve yeterince açık bir şekilde değildir. Azure veya Microsoft hesabınızdan ödün verilecekse, etkilenen RDP'nin nasıl güvence altına alabileceğine dair bir gösterge yoktu. Wade görünüşe göre sorunu ilk bildiren değildi. Microsoft ona başka bir BT araştırmacının 2023'te yıkıldığını bildirdi: “Başlangıçta bu sorun için bir kod değişikliği düşündük, ancak tasarım belgelerinin daha fazla incelenmesinden sonra, kod değişikliklerinin birçok uygulama tarafından kullanılan işlevlerle uyumluluğu bozabileceği ortaya çıktı.”
(DMK)
Arstechnica bu beklenmedik davranışı rapor ediyor. Buna göre, BT güvenlik araştırmacısı Daniel Wade bu davranışı Microsoft Güvenlik Yanıt Merkezi'ne (MSRC) bildirdi. Ona göre, RDP'deki eski erişim verileri, yepyeni makinelerde bile çalışmaya devam ediyor. Yaşlı insanlar hala çalışırken daha yeni şifreler göz ardı edilebilir. Ne Windows Defender ne de Entra Kimliği veya Azure uyarılar vermez. Kullanıcıların bu sorunu ortaya çıkarması ve düzeltmeleri için net bir yol yoktur. Microsoft bu senaryoyu doğrudan belgelemez.
Microsoft: “Tasarım Kararı” “Zayıflık” tanımını yapmaz
Microsoft'a göre, “sistemin ne kadar süre olursa olsun, en az bir kullanıcı hesabının kaydedilebilmesini sağlayan bir tasarım kararı”. Bu nedenle, bu davranış zayıf bir nokta tanımını yapmaz. Microsoft'un hiçbir şeyi değiştirme planı yok.
RDP, (Windows) makinelerinden ve yerel bir bilgisayarda çalışmak için uzaktan kayıt yapmak için kullanılır. Bunu yapmak için yazılım masaüstü çıkışını kaldırılan makineye aktarır. Bir bilgisayar Microsoft veya Azure hesabı ile uzaktan erişimi etkinleştiriyorsa, kullanıcılar RDP aracılığıyla bir şifreye kaydolabilir. Bu, yerel olarak saklanan erişim verileriyle karşılaştırılır. Alternatif olarak, yerel kullanıcıların PC'ye kaydoldukları çevrimiçi hesaba kaydolabilirsiniz.
Ancak, kullanıcılar değiştirmiş olsa bile, uzaktan erişim şifresi geçerli kalır. Sonuç olarak, eski şifreler bazı durumlarda çalışabilir ve daha yeni olmayabilir. Sonunda kalıcı bir RDP erişimi, bulut doğrulaması, çok faktörlü kimlik doğrulama ve erişim kontrol yönergeleri vardır. Wade, raporunda büyük ölçüde formüle ediyor: “Bu, bir şifrenin yakalandığı her sistemde sessiz, uzak bir arka kapı (arka kapı) yaratıyor. Saldırganların sisteme hiç erişmese bile, Windows şifreye güveniyor.”
Sorunun nedeni “kimlik bilgisi önbellekleme”
Nedeni, erişim verilerini kaydetmektir (kimlik bilgisi önbellekleme). Bir Microsoft veya Azure hesabına kaydolurken, RDP şifreyi çevrimiçi olarak doğrular. Windows daha sonra Access verilerini PC'de veya dizüstü bilgisayarda yerel olarak kriptografik olarak güvence altına alır. Oradan, Windows, bir RDP toplantısının her şifresini çevrimiçi bir test olmadan yerel olarak kaydedilen erişim verilerine karşı kontrol eder. Bu nedenle, iptal edilen şifreler RDP aracılığıyla da erişim sağlar.
Windows oturum açma senaryolarına çevrimiçi belgelerin güncellenmesi ile Microsoft, Wades Güvenlik Raporuna tepki gösterdi. “Kullanıcı yerel bir oturum açma çalıştırırsa, erişim verileriniz internetteki kimlik sağlayıcısı aracılığıyla kimlik doğrulamasından önce bir ara kopyaya karşı yerel olarak doğrulanır. Oradaki şirket şimdi yerel makinenize eski şifreyle erişebileceğinizi yazıyor.
BT güvenlik araştırmacısı Dormann'ın çoğu yöneticiyi tanımak kolay değildir ve yeterince açık bir şekilde değildir. Azure veya Microsoft hesabınızdan ödün verilecekse, etkilenen RDP'nin nasıl güvence altına alabileceğine dair bir gösterge yoktu. Wade görünüşe göre sorunu ilk bildiren değildi. Microsoft ona başka bir BT araştırmacının 2023'te yıkıldığını bildirdi: “Başlangıçta bu sorun için bir kod değişikliği düşündük, ancak tasarım belgelerinin daha fazla incelenmesinden sonra, kod değişikliklerinin birçok uygulama tarafından kullanılan işlevlerle uyumluluğu bozabileceği ortaya çıktı.”
(DMK)