Şifre sıfırlamaları, bir uzmanın ihlali şüphelenildiğinde genellikle ilk yanıttır. Bu, saldırganların en bariz geri giriş yolunu kapatan hızlı bir çözüm olmasına rağmen, durumu tamamen çözmeyebilir.
Şifre Sıfırlama Açığı
Windows sistemleri, çevrimdışı oturum açmayı desteklemek için şifre karmalarını yerel olarak önbellekler. Eğer bir cihaz alan adıyla yeniden bağlantı kurmamışsa, eski kimlik bilgileri kullanılabilir durumda kalabilir. Hybrid Entra ID ortamlarında da, yeni şifrenin Entra ID ile senkronize olmasında kısa bir gecikme yaşanabilir.
Bu durum, şifre sıfırlama işlemi sonrası üç olası durumu oluşturur:
- Kullanıcı, AD ile bağlantıdayken yeni kimlikle giriş yapmıştır. Önbellek, eski karmayı geçersiz kılar.
- Kullanıcı, sıfırlama sonrası belirli bir cihaza hiç giriş yapmamıştır. Eski önbellek kimliği bazı kimlik doğrulama girişimleri için kullanılabilir.
- Hybrid dağıtımlarda, AD’deki şifre sıfırlanmış ancak yeni karma henüz Entra ID’ye senkronize olmamıştır. Eski şifre, şifre karması senkronizasyon aralığı sırasında kimlik doğrulaması yapabilir.
Saldırganların Açığı Nasıl Kullanıyor?
Önbellekli Kimlik Bilgileri
Saldırganlar, pass-the-hash gibi yöntemlerle önbelleğe alınmış şifre karmalarını istismar ederler; bu yöntemde, karma doğrudan kullanımda olan şifrenin kendisi yerine kullanılır. Eğer bu karma sıfırlamadan önce ele geçirilmişse, şifre değişikliği onu her yerde geçersiz kılmaz.
Bu tür durumların etkisini sınırlamak, AD ortamlarını korumak için kritik öneme sahiptir. Specops uReset gibi çözümler, sonunda kullanıcı kimliği doğrulamasını zorunlu kılarak sıfırlama suistimal riskini azaltır.
Aktif Oturumlar
AD kimlik doğrulaması esasen Kerberos biletleri aracılığıyla gerçekleştirilir ve bu biletler belirli bir süre geçerlidir. Eğer bir kullanıcı veya saldırgan geçerli bir bilete sahipse, şifreyi yeniden girmeden kaynaklara erişmeye devam edebilir.
Servis Hesapları
Kullanıcı hesaplarının aksine, servis hesapları genellikle uzun süreli şifrelere sahiptir ve kritik sistemlere bağlı yükseltilmiş ayrıcalıklara sahiptir. Saldırganlar, bunları Kerberoasting gibi tekniklerle açığa çıkarabilir veya ağda yan şekilde hareket ederken bulabilirler.
Bilet Saldırıları
Kerberos kimlik doğrulama protokolü kullanan ortamlarda erişim, biletler aracılığıyla kontrol edilir. Eğer bir saldırgan bu biletleri sahteleyebilirse, geçerli kimlik bilgilerine ihtiyaç duymadan erişim elde edebilir.
İzinler
AD, Büyük ölçüde Erişim Kontrol Listeleri (ACL) tarafından yönlendirilir. Bir saldırgan, ele geçirilmiş bir hesap veya kontrol ettiği yeni bir hesaba diğer kullanıcıların şifrelerini sıfırlama gibi haklar verirse, etkili bir arka kapı oluşturmuştur.
Saldırganların Temizlenmesini Sağlamak
Şifre sıfırlama ile AD ve Entra ID arasında senkronizasyon yapılması arasındaki süre kısadır ve genellikle sadece birkaç dakikadır. Bu, saldırganların açığı istismar etme fırsatını ciddi şekilde sınırlamaktadır.
Ancak bu açıklık hala mevcuttur; bir hesap ihlalinin tespit edilmesiyle saldırganlar ek tutunma alanları kurmuş olabilir. Bu durumda, şifre sıfırlamaları yeterli değildir ve erişimi tamamen kapatmak önemlidir.
AD’yi Güvence Altına Alın
AD’nin güçlendirilmesi, her bir hesabın güçlü şifrelerle korunmasını ve suistimal fırsatlarını sınırlayan güvenli bir sıfırlama süreci gerektirir.
Güçlü şifre politikaları ve etkililiği artırarak, şifre sıfırlamalarının güvenliği artırdığından emin olmak için demo randevusu alabilirsiniz.
