Giriş
Microsoft, 30 yıllık NTLM kimlik doğrulama protokolünü, güvenlik açıkları nedeniyle gelecekteki Windows sürümlerinde varsayılan olarak devre dışı bırakacağını açıkladı. Bu değişiklik, organizasyonları siber saldırılara karşı daha korunaklı hale getirmek için kritik bir adım olarak değerlendiriliyor.
NTLM Nedir?
NTLM (New Technology LAN Manager), 1993 yılında Windows NT 3.1 ile tanıtılan bir kimlik doğrulama protokolüdür ve LAN Manager (LM) protokolünün halefidir. Günümüzde Kerberos, Windows 2000 ve üzeri sürümlerde varsayılan kimlik doğrulama protokolü olmuştur. Ancak NTLM, Kerberos’ın kullanılamadığı durumlarda geri dönüş kimlik doğrulama yöntemi olarak hala kullanılmakta ve zayıf şifreleme algoritmaları nedeniyle saldırılara açıktır.
Saldırı Nasıl Çalışıyor?
NTLM, NTLM relay saldırıları için yaygın olarak istismar edilmiştir. Bu saldırılarda, tehdit aktörleri ele geçirilmiş ağ cihazlarını, saldırganın kontrolündeki sunuculara kimlik doğrulaması yapmaya zorlarlar. Bunun sonucunda:
- Pretender: NTLM hash’lerini çalarak kullanıcı haklarını yükseltmeleri mümkündür.
- Pass-the-hash: Saldırganlar, sistem zafiyetlerini veya kötü amaçlı yazılımları kullanarak NTLM hash’lerini çalarak hedef sistemlerde kimlik doğrulaması yapabilirler.
Ayrıca, NTLM protokolü, PetitPotam, ShadowCoerce, DFSCoerce ve RemotePotato0 gibi zafiyetlerden etkilenerek NTLM relay saldırılarına karşı koruma önlemlerini aşma imkanı sunar.
Etkilenen Sistemler
Microsoft, NTLM’nin kullanıma kapatılacağını ve bunun yeni Windows Server sürümlerinde ve ilişkili Windows istemci versiyonlarında uygulanacağını duyurdu. Bu süreç üç aşamalı bir geçiş planı ile desteklenecektir:
- Aşama 1: Windows 11 24H2 ve Windows Server 2025’te NTLM kullanımının tespiti için geliştirilmiş denetleme araçlarının kullanıma sunulması.
- Aşama 2: 2026’nın ikinci yarısında, NTLM geri dönüş durumlarını ele alacak yeni özelliklerin (IAKerb ve Yerel Anahtar Dağıtım Merkezi) tanıtılması.
- Aşama 3: Gelecekteki sürümlerde ağı NTLM kullanımı varsayılan olarak devre dışı bırakılacaktır.
Çözüm ve Korunma
Microsoft, NTLM’yi varsayılan olarak devre dışı bırakmanın, NTLM’nin Windows’tan tamamen kaldırılması anlamına gelmediğini; bunun yerine, ağ NTLM kimlik doğrulamanın engelleneceği bir güvenli başlangıç durumu sağlayacağını ifade etti. Kullanıcıların, modern ve daha güvenli Kerberos tabanlı alternatiflere yönlendirilerek, geçmişe yönelik yaygın senaryolar için yeni yeteneklerin geliştirileceği vurgulandı.
Microsoft, geliştiricilere ve Windows yöneticilerine, NTLM kullanımını azaltmaları ve Kerberos veya Müzakere kimlik doğrulamasına geçmeleri konusunda 2010’dan beri uyarılarda bulunmuştur.
Sonuç
Kuruluşlar, sistemlerini mümkün olan en kısa sürede güncelleyerek NTLM kullanımı için yapılandırmalarını gözden geçirmelidir. Gereksiz NTLM iletişimini önlemek için gerekli önlemleri almak; örneğin, port kapama veya Active Directory Sertifika Hizmetleri (AD CS) kullanarak NTLM relay saldırılarını engelleme gibi adımlar atılmalıdır. Aksi halde, güvenlik açıkları sektör üzerindeki siber tehditleri artıracaktır.
