Microsoft, araştırmacıların Windows 7’den mevcut Windows 11 sürümlerine kadar Windows Workstation ve Server’ın tüm sürümlerinde sıfır gün NTLM karma açıklaması bulduğunu bildirmesinden günler sonra, kuruluşlara NTLM geçiş saldırılarının varsayılan olarak nasıl azaltılacağına ilişkin yeni kılavuz yayınladı.
Ancak zamanlama açısından iki gelişmenin bağlantılı mı yoksa tamamen tesadüfi mi olduğu hemen belli olmadı. Her halükarda henüz CVE veya CVSS puanı olmayan hatanın yamalanmasının aylarca sürmesi beklenmiyor.
Windows NTLM Sıfır Gün Kimlik Bilgisi Hırsızlığına İzin Veriyor
ACROS Security’den araştırmacılar bildirdi sıfır gün hatası bulma desteklenen tüm Windows sürümlerinde. Bu hata, saldırganın Windows Gezgini dosya yönetimi yardımcı programı aracılığıyla kullanıcının kötü amaçlı bir dosyayı görüntülemesini sağlayarak kullanıcının NTLM kimlik bilgilerini ele geçirmesine olanak tanıyor.
ACROS Security CEO’su Mitja Kolsek, “Böyle bir dosyanın bulunduğu paylaşılan bir klasörü veya USB diski açmak veya söz konusu dosyanın daha önce saldırganın Web sayfasından otomatik olarak indirildiği İndirilenler klasörünü görüntülemek”, kimlik bilgilerinin tehlikeye atılması için gereken tek şeydir bir blog yazısında yazdı.
ACROS, Microsoft’un sorunu çözene kadar hata hakkında daha fazla bilgi yayınlamayacağını söyledi. Ancak Kolsek, Dark Reading’e bir saldırganın bu açıktan yararlanma yeteneğinin çeşitli faktörlere bağlı olduğunu söylüyor.
“Gerçekten istismar etmeye çalışmadan, sorunun nerede istismar edilebilir olduğunu bulmak kolay değil” diye açıklıyor. Microsoft, güvenlik açığını orta veya “Önemli” önem derecesine sahip olarak değerlendirdi; bu, “Kritik” önem derecesine sahip hatalardan bir kademe daha düşük bir tanımdır. Kolsek, şirketin Nisan ayında bir düzeltme yayınlamayı planladığını söyledi.
E-postayla gönderilen bir yorumda Microsoft sözcüsü, şirketin “rapordan haberdar olduğunu ve müşterilerin korunmasına yardımcı olmak için gerektiğinde harekete geçeceğini” söyledi.
Hata, ACROS’un Ekim ayından bu yana Microsoft’a bildirdiği ikinci sıfır gün NTLM kimlik bilgisi sızıntısıdır. Bir öncekinde bir Windows Temaları kimlik sahtekarlığı sorunu ve saldırganların kurban cihazlarını, saldırgan tarafından kontrol edilen cihazlara NTLM kimlik doğrulama karmaları göndermeye zorlamalarına olanak sağladı. Microsoft henüz bu hata için bir yama yayınlamadı.
Hatalar, son yıllarda ortaya çıkan NTLM ile ilgili birçok sorun arasında yer alıyor. PetitPotamDFSCoerce, PrinterBug/SpoolSample ve son zamanlarda, açık kaynak politika uygulama motoru.
Eski Protokol Tehlikeleri
Windows NTLM’si (NT LAN Manager), Microsoft’un modern Windows’a geriye dönük uyumluluk amacıyla dahil ettiği eski bir kimlik doğrulama protokolüdür. Saldırganlar, kimlik doğrulama isteklerini engellemek ve bunları orijinal kullanıcıların erişebildiği diğer sunuculara veya hizmetlere erişmek üzere iletmek veya “aktarmak” için sıklıkla protokoldeki zayıflıkları hedef alır.
Microsoft, bu haftaki tavsiye niteliğindeki raporunda NTLM geçişini “tehdit aktörleri tarafından kullanılan ve kimlik ihlaline izin veren popüler bir saldırı yöntemi” olarak tanımladı. Saldırılar, kurbanı saldırgan tarafından kontrol edilen bir uç noktada kimlik doğrulaması yapmaya zorlamayı ve kimlik doğrulamayı savunmasız bir hedef sunucuya veya hizmete aktarmayı içerir. Tavsiye, saldırganların daha önce kullandığı güvenlik açıklarına dikkat çekti. CVE-2023-23397 Outlook’ta ve CVE-2021-36942 Windows LSA’da, NTLM aktarma saldırılarına karşı koruması olmayan hizmetlerden yararlanmak için.
Bu tür saldırılara yanıt olarak Microsoft, nasıl etkinleştirileceğine ilişkin önceki kılavuzu güncelledi. Kimlik Doğrulaması için Genişletilmiş Koruma Şirket, LDAP, AD CS ve Exchange Server’da varsayılan olarak (EPA) olduğunu söyledi. En son Windows Server 2025, hem AD CS hem de LDAP için varsayılan olarak EPA etkinleştirilmiş olarak gelir.
Tavsiye belgesi, “Exchange Server’ın NTLM tehdit ortamında oynadığı benzersiz rol” göz önüne alındığında, kuruluşların EPA’yı Exchange Server için özel olarak etkinleştirmesi gerektiğinin altını çizdi. Şirket işaret etti CVE-2024-21413, CVE-2023-23397Ve CVE-2023-36563 Saldırganların NTLM’yi zorlama amacıyla yararlandığı son güvenlik açıklarına örnek olarak. Şirket, “Outlook aracılığıyla gönderilen ofis belgeleri ve e-postalar, UNC bağlantılarını içlerine yerleştirme yetenekleri göz önüne alındığında, saldırganların NTLM zorlama güvenlik açıklarından yararlanmaları için etkili giriş noktaları olarak hizmet ediyor” dedi.
Kolsek, Microsoft’un NTLM saldırılarına karşı koruma tavsiyesinin son hata açıklamasıyla bir ilgisi olup olmadığının belirsiz olduğunu söylüyor. “[But] mümkünse Microsoft’un NTLM ile ilgili güvenlik açıklarını azaltmaya yönelik önerilerini izleyin” diyor. “Olmazsa, 0patch’i düşünün” diye ekliyor ve şirketinin özellikle eski ve artık desteklenmeyen yazılım ürünlerinde güvenlik açıkları için sağladığı ücretsiz mikro yamalara atıfta bulunuyor.
