Kritik: Çok Faktörlü Kimlik Doğrulamanın Sınırları ve Açıklar

Windows Kimlik Doğrulama Açıkları ve Siber Tehditler

Windows ortamlarında çok faktörlü kimlik doğrulama (MFA) uygulayan organizasyonlar, çalınan şifrelerin sistemlere erişim için yeterli olmadığını varsayıyor. Ancak bu varsayım genellikle yanlıştır; saldırganlar geçerli kimlik bilgileri kullanarak ağları her gün ihlal ediyorlar. Sorun, MFA’nın kendisi değil, kapsamıdır.

Saldırı Nasıl Çalışıyor?

Windows kimlik doğrulama süreçleri, çoğu zaman çok faktörlü kimlik doğrulama sistemleri tarafından kontrol edilmez. Aşağıda, saldırganların başarılı bir şekilde hedef alabileceği yedi Windows kimlik doğrulama yolu açıklanmaktadır:

1. Etkileşimli Windows oturumu (yerel veya etki alanına katılmış)

Bir kullanıcı bir Windows çalışma istasyonuna veya sunucusuna doğrudan giriş yaptığında, kimlik doğrulama genellikle Active Directory (AD) tarafından gerçekleştirilir. Saldırgan, bir kullanıcı şifresini (veya NTLM hash’ini) ele geçirirse, MFA politikalarını tetiklemeksizin bir etki alanına katılmış cihaza oturum açabilir.

2. Koşullu erişimi atlayan doğrudan RDP erişimi

Uzaktan Masaüstü Protokolü (RDP), Windows ortamlarında en çok hedeflenen erişim yöntemlerinden biridir. Doğrudan RDP oturumları, bulut tabanlı MFA kontrollerinden geçmez ve bu nedenle, oturum açma işlemi tamamen AD kimlik bilgilerine dayanabilir.

3. NTLM kimlik doğrulaması

NTLM, eski bir kimlik doğrulama protokolüdür ve hala uyumluluk sağlamak amacıyla sahada bulunmaktadır. NTLM hash’ini ele geçirerek kimlik doğrulama sağlamak, saldırganlar için kolay bir yöntemdir.

4. Kerberos bilet istismarı

Kerberos, AD için temel kimlik doğrulama protokolüdür. Saldırganlar, ayrıcalıklı hesaplar bir kez kompromiye edildikten sonra Kerberos biletlerini çalabilir ya da sahte biletler üretebilir. Bu durum, uzun süreli erişim ve yan hareket olanağı sağlar.

5. Yerel yönetici hesapları ve kimlik bilgisi yeniden kullanımı

Yerel yönetici hesapları, destek görevleri ve sistem kurtarma için sıklıkla kullanılmaktadır. Eğer bu hesapların şifreleri tekrar kullanılıyorsa, saldırganlar bir ihlali geniş erişime dönüştürebilirler.

6. Sunucu Mesaj Bloğu (SMB) kimlik doğrulaması ve yatay hareket

SMB, Windows kaynaklarına erişimde kullanılan bir protokoldür ve bir saldırgan geçerli kimlik bilgilerine sahip olduğunda, hızlı bir şekilde sistemler arasında hareket edebilir.

7. MFA tetiklemeyen hizmet hesapları

Hizmet hesapları, genellikle otomatik görevler ve sistem hizmetlerini yürütmek için gereklidir. Çoğu zaman, bu hesapların şifreleri geçerlilik süresi dolmadan değişmez ve izlenmez, bu da saldırganların hedef alması için cazip hale getirir.

Etkilenen Sistemler

Yukarıda belirtildiği gibi, bu kimlik doğrulama yöntemleri, Windows ortamlarındaki çeşitli sistemlere uygulanmaktadır. Bu durum, organizasyonların güvenlik açıklarını tespit etmelerini ve önlem almalarını zorlaştırmaktadır.

Çözüm ve Korunma

Güvenlik ekipleri, Windows kimlik doğrulamasını ayrı bir güvenlik alanı olarak ele almalıdır. Aşağıdaki adımlar, maruziyeti azaltmaya yardımcı olabilir:

• 1. Active Directory’de daha güçlü şifre politikaları uygulayın: En az 15 karakter uzunluğunda şifreler gerektirin.
• 2. Sürekli olarak tehlikeye atılmış şifreleri engelleyin: Kullanıcıların, zaten ele geçirilmiş olan şifreleri oluşturmasını engelleyin.
• 3. Eski kimlik doğrulama protokollerine maruziyeti azaltın: Mümkünse NTLM kimlik doğrulamasını kısıtlayın veya kaldırın.
• 4. Hizmet hesaplarını denetleyin ve gereksiz ayrıcalıkları azaltın: Hizmet hesaplarını en az ayrıcalık prensibine uygun şekilde yönetin.

Sonuç

Kuruluşların, bu güvenlik açıklarını kapatmak için derhal harekete geçmesi gerekiyor. Active Directory güncellemalarını düzenli olarak yapmalı, MFA’nın kapsamını genişletmeli ve sistemlerini sıkı bir şekilde denetlemelidir. Sisteminizi güven altında tutmak için bilinçli adımlar atın ve gereksiz risklerden kaçının.