NTLM Aktarma Saldırıları: Microsoft karşı önlemler alıyor | merhaba çevrimiçi

bencede

New member
Suçluların ağlara ek erişim elde etmek için sıklıkla gözlemlediği bir saldırı vektörü, Microsoft'un NTLM Aktarma adı verilen NTLM ağ protokolünün yeniden yönlendirilmesidir. Kimlik doğrulama için oturum açma verileri, saldırganların erişip kötüye kullanabileceği NTLM aracılığıyla iletilir. Microsoft artık bu tür saldırıları varsayılan olarak önemli ölçüde daha zor hale getirmek istiyor.


Duyuru



Microsoft'un bir blog yazısında yazdığı gibi, üretici artık oturum açma verilerini daha iyi korumak için “Kimlik Doğrulama için Genişletilmiş Koruma”ya (kısaca EPA) güveniyor. Bu, siber suçluların CVE-2024-21410 güvenlik açığını keşfetmesinin ardından Şubat ayından bu yana Exchange sunucularında varsayılan olarak kullanılıyor ve CVSS puanı şu şekilde: 9.8 GİBİ eleştirmen Risk altında olarak sınıflandırılan bu kişiler, haklarını genişletmek için bunu aktif olarak kötüye kullandılar. Microsoft ayrıca EPA korumasını da NTLM Kimlik Bilgileri Aktarma Koruması olarak adlandırdı.

Genişletilmiş kimlik doğrulama koruması standart hale geliyor


Geçen ayın başında piyasaya sürülen Windows Server 2025 de, özellikle “Active Directory Sertifikalı Hizmetler” (AD CS) için böyle bir koruma aldı. Aynı nedenden dolayı, LDAP kanal bağlama, Server 2025'te varsayılan olarak etkinleştirilmiştir. Bu uzantıların birlikte, üç şirket içi hizmet olan Exchange, AD CS ve LDAP için NTLM geçiş saldırıları riskini varsayılan olarak önemli ölçüde azaltması amaçlanmaktadır.

NTLM geçiş saldırıları genellikle iki aşamada gerçekleşir. İlk olarak saldırganlar, mağdurları keyfi uç noktalara erişmeleri için kandırıyor. Daha sonra kimlik doğrulamayı savunmasız bir hedefe yönlendirirler. Yönlendirme, saldırganların kurbanlarının kimliğine bürünmesine ve onlar adına eylemler gerçekleştirmesine olanak tanır. Bu onlara ağdan daha fazla ödün verme yeteneği verir. Microsoft'un yaklaşımı artık herhangi bir uç noktaya erişimi sınırlamak yönünde. EPA ve kanal bağlama ile istemciler yalnızca belirli sunuculara erişebilir. Bu nedenle NTLM Aktarma saldırılarına karşı savunmada önemli bir rol oynarlar. Microsoft, ileriye dönük olarak NTLM'nin kullanımdan kaldırılmış bir protokol olarak kabul edildiğini belirtiyor ve bu nedenle kullanıcıların Windows'un gelecek sürümlerinde devre dışı bırakılmasına hazırlanmalarını öneriyor. Kerberos gibi daha modern kimlik doğrulama protokolleri kullanılmalıdır. Bu arada Microsoft en azından NTLM'yi farklı stratejilerle güçlendirmeye çalışıyor.

Yeni NTLM karma sızıntısı


Geçen hafta, Windows 7 ve Server 2008 R2 ile mevcut Windows 11 24H2 ve Server 2022 sürümleri arasında, saldırganların NTLM kimlik bilgilerine erişmesine olanak tanıyan bir güvenlik açığı keşfedildi. Güvenlik açığı 0patch tarafından keşfedildi ve bir blog yazısında bildirildi. Örneğin, saldırganın web sitesinden otomatik olarak indirilen böyle bir dosyanın bulunduğu bir ağ paylaşımını, USB çubuğunu veya indirme klasörünü açarak, kurbanların Windows Gezgini'nde kötü amaçlı bir dosyayı görmesini sağlayın. Windows Server 2025'in savunmasız sistemler listesinde yer almaması, Microsoft'un karşı önlemlerinin işe yaradığını gösteriyor gibi görünüyor. Yöneticiler bu nedenle mümkün olduğunda EPA'yı etkinleştirmelidir.

Eski NTLM, tüm Windows ağlarında sürekli bir tehlike kaynağıdır. Bu durum önümüzdeki yıllarda da devam edecek ve yöneticilerin hedefe yönelik önlemler alması gerekecek. Çünkü Petit Potam gibi “düzeltilemeyecek” boşluklar veya daha önce bahsedilen NTLM'deki mevcut bilgi boşluğu düzenli olarak belirsizliğe neden oluyor. PRO üyelerimizin hala medya kütüphanesinden izleyebileceği Haberler güvenlik web seminerimiz “NTLM: Microsoft'un orijinal günahı ve yöneticilerin bununla mantıklı bir şekilde nasıl başa çıktığı”nda yöneticilerin kendilerini nasıl doğru bir şekilde konumlandırdıklarını kısa süre önce açıklamıştık.




(Bilmiyorum)
 
Üst