Siber güvenlik araştırmacıları, NT LAN Manager (NTLM) v1’i devre dışı bırakmak için tasarlanan Microsoft Active Directory Grup İlkesinin, yanlış yapılandırma nedeniyle önemsiz bir şekilde atlanabileceğini buldu.
Silverfort araştırmacısı Dor Segal, “Şirket içi uygulamalardaki basit bir yanlış yapılandırma, Grup İlkesini geçersiz kılabilir ve NTLMv1 kimlik doğrulamalarını durdurmak için tasarlanan Grup İlkesini etkili bir şekilde geçersiz kılabilir.” söz konusu The Hacker News ile paylaşılan bir raporda.
NTLM, özellikle Windows ortamlarında ağ üzerinden kullanıcıların kimliğini doğrulamak için hala yaygın olarak kullanılan bir mekanizmadır. Eski protokol, geriye dönük uyumluluk gereklilikleri nedeniyle kaldırılmamış olsa da 2024 ortası itibarıyla kullanımdan kaldırıldı.
Geçen yılın sonlarında Microsoft resmen kaldırıldı NTLMv1, Windows 11, sürüm 24H2 ve Windows Server 2025’te başlıyor. NTLMv2, geçiş saldırıları gerçekleştirmeyi zorlaştırmak için yeni hafifletici önlemler sunarken, teknoloji, tehdit aktörlerinin hassas verilere erişmek için aktif olarak yararlandığı çeşitli güvenlik zayıflıkları tarafından kuşatılmıştır.
Bu kusurlardan yararlanmanın amacı, kurbanı keyfi bir uç noktaya kimlik doğrulaması yapmaya zorlamak veya kimlik doğrulama bilgilerini duyarlı bir hedefe iletmek ve kurban adına kötü niyetli eylemler gerçekleştirmektir.
” Grup İlkesi mekanizması Segal şöyle açıkladı: “LMCompatibilityLevel kayıt defteri anahtarı, Etki Alanı Denetleyicilerinin NTLMv1 mesajlarını değerlendirmesini engeller ve NTLMv1 ile kimlik doğrulaması yapılırken yanlış bir parola hatası (0xC000006A) döndürür.”
Ancak Silverfort’un araştırması, Netlogon Uzaktan Protokolü’ndeki bir ayardan yararlanarak Grup İlkesini atlatmanın ve NTLMv1 kimlik doğrulamasını kullanmaya devam etmenin mümkün olduğunu buldu (MS-NRPC).
Özellikle, bir avantaj sağlar veri yapısı isminde NETLOGON_LOGON_IDENTITY_INFO“Yalnızca NTLMv2’ye (NTLM) izin verildiğinde NTLMv1 kimlik doğrulamasına izin ver (MS-NLMP)” şeklinde bir yapılandırmaya sahip olan ParameterControl adlı bir alan içerir.
Segal, “Bu araştırma, şirket içi uygulamaların NTLMv1’i etkinleştirecek şekilde yapılandırılabileceğini ve Active Directory’de ayarlanan Grup İlkesi LAN Manager kimlik doğrulama düzeyinin En Yüksek Düzeyini geçersiz kıldığını gösteriyor” dedi.
“Yani kuruluşlar bu grup politikasını belirleyerek doğru şeyi yaptıklarını düşünüyorlar, ancak bu politika hala yanlış yapılandırılmış uygulama tarafından atlanıyor.”
NTLMv1’in oluşturduğu riski azaltmak amacıyla, etki alanındaki tüm NTLM kimlik doğrulaması için denetim günlüklerinin etkinleştirilmesi ve istemcilerden NTLMv1 mesajlarını kullanmasını isteyen savunmasız uygulamalara karşı dikkatli olunması önemlidir. Ayrıca kuruluşların sistemlerini güncel tutmalarının tavsiye edildiğini söylemeye gerek yok.
En son bulgular aşağıdaki gibidir: rapor güvenlik araştırmacısı Haifei Li’den, doğada ortaya çıkan ve sızıntı yapabilecek PDF yapıtlarındaki “sıfır gün davranışı” hakkında yerel net-NTLM bilgisi belirli koşullar altında Adobe Reader veya Foxit PDF Reader ile açıldığında. Foxit Software, Windows için 2024.4 sürümündeki sorunu giderdi.
Açıklama aynı zamanda HN Güvenlik araştırmacısı Alessandro Iandoli’nin de aklına geliyor. ayrıntılı Windows 11’deki (sürüm 24H2’den önceki) çeşitli güvenlik özelliklerinin, çekirdek düzeyinde rastgele kod yürütülmesini sağlamak için nasıl atlanabileceği.
