Styra’nın Açık Politika Aracısındaki yamalı güvenlik açığıyla ilgili ayrıntılar ortaya çıktı (OPA) başarıyla kullanılırsa New Technology LAN Manager’ın sızmasına yol açabilirdi (NTLM) karmalar.
Siber güvenlik firması Tenable, “Güvenlik açığı, bir saldırganın OPA sunucusunun yerel kullanıcı hesabının NTLM kimlik bilgilerini uzak bir sunucuya sızdırmasına ve potansiyel olarak saldırganın kimlik doğrulamasını iletmesine veya şifreyi kırmasına olanak tanımış olabilir.” söz konusu The Hacker News ile paylaşılan bir raporda.
Sunucu İleti Bloğu (SMB) zorla kimlik doğrulama güvenlik açığı olarak tanımlanan ve şu şekilde izlenen güvenlik açığı: CVE-2024-8260 (CVSS puanı: 6,1/7,3), Windows için hem CLI hem de Go yazılım geliştirme kitini (SDK) etkiler.
Sorunun özünde bir sorun var uygunsuz giriş doğrulama OPA uygulamasını çalıştıran Windows cihazında oturum açmış olan kullanıcının Net-NTLMv2 karmasını sızdırarak yetkisiz erişime yol açabilir.
Ancak bunun işe yaraması için kurbanın 445 numaralı bağlantı noktası üzerinden giden Sunucu İleti Bloğu (SMB) trafiğini başlatabilecek konumda olması gerekir. Orta önem derecesine katkıda bulunan diğer önkoşullardan bazıları aşağıda listelenmiştir:
- OPA CLI’nin yürütülmesinin önünü açan, kullanıcının ortamdaki ilk dayanağı veya sosyal mühendisliği
- OPA CLI veya OPA Go kütüphanesinin işlevlerine argüman olarak Rego kural dosyası yerine Evrensel Adlandırma Kuralı (UNC) yolunu geçirmek
Bu şekilde yakalanan kimlik bilgileri daha sonra kimlik doğrulamayı atlamak için bir geçiş saldırısı düzenlemek veya şifreyi çıkarmak için çevrimdışı kırma işlemi gerçekleştirmek üzere silah haline getirilebilir.
Tenable güvenlik araştırmacısı Shelly Raban, “Bir kullanıcı veya uygulama Windows’ta uzak bir paylaşıma erişmeye çalıştığında, yerel makineyi uzak sunucuda NTLM aracılığıyla kimlik doğrulaması yapmaya zorlar” dedi.
“Bu işlem sırasında, yerel kullanıcının NTLM karması uzak sunucuya gönderilir. Bir saldırgan, kimlik bilgilerini yakalamak için bu mekanizmayı kullanabilir, böylece kimlik doğrulamasını aktarabilir veya karmaları çevrimdışı kırabilir.”
19 Haziran 2024’te sorumluların yaptığı açıklamanın ardından güvenlik açığı şu adreste giderildi: sürüm 0.68.0 29 Ağustos 2024’te yayınlandı.
Şirket, “Açık kaynak projeler yaygın çözümlere entegre edildikçe, bunların güvenli olmasını ve satıcıları ve müşterilerini artan saldırı yüzeyine maruz bırakmamasını sağlamak büyük önem taşıyor” dedi. “Ek olarak kuruluşlar, sistemlerini korumak için kesinlikle gerekli olmadıkça hizmetlerin kamuya açık olmasını en aza indirmelidir.”
Açıklama, Akamai’nin Microsoft Uzaktan Kayıt Hizmeti’ndeki bir ayrıcalık yükseltme kusuruna ışık tutmasıyla geldi (CVE-2024-43532CVSS puanı: 8.8) bir saldırganın NTLM aktarımı aracılığıyla SİSTEM ayrıcalıkları kazanmasına izin verebilir. 1 Şubat 2024’te bildirildikten sonra bu ayın başında teknoloji devi tarafından yama uygulandı.
“Güvenlik açığı WinReg’deki bir geri dönüş mekanizmasını kötüye kullanıyor [RPC] Akamai araştırmacısı Stiv Kupchik, SMB aktarımının mevcut olmaması durumunda eski aktarım protokollerini güvenli olmayan bir şekilde kullanan istemci uygulamasıdır. söz konusu.
“Saldırgan, bu güvenlik açığından yararlanarak istemcinin NTLM kimlik doğrulama ayrıntılarını Active Directory Sertifika Hizmetleri’ne (ADCS) aktarabilir ve etki alanında daha fazla kimlik doğrulaması için bir kullanıcı sertifikası talep edebilir.”
NTLM’nin aktarma saldırılarına karşı duyarlılığı Microsoft’un gözünden kaçmadı; Microsoft, bu Mayıs ayının başlarında, kullanıcı kimlik doğrulamasını güçlendirme çabalarının bir parçası olarak Windows 11’de NTLM’yi Kerberos lehine kullanımdan kaldırma planlarını yineledi.
Kupchik, “Günümüzde çoğu RPC sunucusu ve istemcisi güvenli olsa da, zaman zaman güvenli olmayan uygulamaların kalıntılarını değişen derecelerde ortaya çıkarmak mümkündür” dedi. “Bu durumda, geçmişe ait olması daha iyi olan bir saldırı sınıfı olan NTLM geçişini gerçekleştirmeyi başardık.”