Tehdit aktörlerinin bir NTLM geçiş saldırısı yoluyla etki alanı yöneticisi ayrıcalıkları kazanmasına izin verebilecek tüm Windows sürümlerini etkileyen bir ayrıcalık yükseltme güvenlik açığı, Microsoft’un “düzeltmeyecek” olarak etiketlemesinin ardından resmi olmayan yamalar aldı.
güvenlik açığı, RemotePotato0 Sentinel LABS araştırmacısı olarak adlandırılan Bunu bulan ve Nisan 2021’de ifşa eden Antonio Cocomazzi ve bağımsız araştırmacı Andrea Pierini, bir sıfır gün kusurudur. Microsoft’un kendi tanımı) Redmond bir düzeltme yayınlamayı reddettikten sonra henüz bir CVE Kimliği almadı.
Saldırganların kimliği doğrulanmış RPC/DCOM çağrılarını tetiklemesine ve NTLM kimlik doğrulamasını diğer protokollere iletmesine olanak tanır, bu da onların ayrıcalıkları etki alanı yöneticisine yükseltmesine ve muhtemelen tam etki alanı güvenliğine izin vermesine olanak tanır.
“Oturum açmış, düşük ayrıcalıklı bir saldırganın, şu anda aynı bilgisayarda oturum açmış olan başka herhangi bir kullanıcının oturumunda birkaç özel amaçlı uygulamadan birini başlatmasına ve bu uygulamanın söz konusu kullanıcının NTLM karmasını bir IP’ye göndermesini sağlar. saldırgan tarafından seçilen adres,” 0patch kurucu ortağı Mitja Kolsek açıkladı Etkilenen sunucularda RemotePotato0 istismarını engellemek için yayınlanan ücretsiz mikro yamalar hakkında bilgi paylaşan bir blog gönderisinde.
“Bir etki alanı yöneticisinden bir NTLM karmasını ele geçiren saldırgan, o yönetici gibi davranarak etki alanı denetleyicisi için kendi isteğini oluşturabilir ve kendilerini Etki Alanı Yöneticileri grubuna eklemek gibi bazı yönetim eylemlerini gerçekleştirebilir.”
Saldırganlar, başarılı bir istismar için saldırı sırasında oturum açmaları için yönetici ayrıcalıklarına sahip ev kullanıcılarını kandırmak zorunda kalacaklardı.
Ancak Kolsek’in dediği gibi, Windows Server sistemlerinde bu çok daha kolaydır, çünkü yöneticiler dahil olmak üzere birden fazla kullanıcı aynı anda oturum açar ve böylece sosyal mühendislik gereksinimini ortadan kaldırır.
RemotePotato0 micropatch’in çalışırken bir video demosu aşağıda gömülüdür.
Yöneticilere NTLM’yi devre dışı bırakmaları veya sunucuları doğru şekilde yapılandırmaları söylendi
Windows NT (Yeni Teknoloji) LAN Manager (NTLM) kimlik doğrulama protokolü, uzak kullanıcıların kimliğini doğrulamak ve uygulama protokolleri tarafından istendiğinde oturum güvenliği sağlamak için kullanılır.
Kerberos, tüm Windows 2000 ve sonraki sürümlerde etki alanına bağlı aygıtlar için geçerli varsayılan kimlik doğrulama protokolü olan NTLM’nin yerini almıştır.
Buna rağmen, NTLM hala Windows sunucularında kullanılmaktadır ve saldırganların NTLM geçiş saldırısı azaltmalarını atlamak için tasarlanmış RemotePotato0 gibi güvenlik açıklarından yararlanmasına olanak tanır.
Microsoft, araştırmacılara şunları söyledi: Windows yöneticilerinin NTLM’yi devre dışı bırakması veya sunucularını NTLM geçiş saldırılarını engelleyecek şekilde yapılandırın Active Directory Sertifika Hizmetleri’ni (AD CS) kullanarak.
Araştırmacılar “MS’nin bu ciddi güvenlik açığını düzeltmeme kararını yeniden gözden geçirmesini umuyorlar” çünkü RemotePotato0 gibi hatalar kullanan benzer NTLM aktarmalı saldırı tekniklerinin aksine kimlik doğrulamasını diğer protokollere aktararak hedefin etkileşimine ihtiyaç duymadan kullanılabilir. CVE-2020-1113 ve CVE-2021-1678.
Microsoft bir tane sağlayana kadar ücretsiz yama kullanılabilir
Microsoft, bu güvenlik açığı için güvenlik güncelleştirmeleri yayınlamaya karar verene kadar, 0patch mikro yama hizmeti sahip olmak ücretsiz resmi olmayan yamalar yayınladı (mikro yamalar olarak bilinir).
0patch, Cocomazzi ve Pierini tarafından Nisan 2021 raporlarında paylaşılan bilgileri kullanarak mikro yamaları geliştirdi.
RemotePotato0 için resmi olmayan yamalar, Windows 7’den en son Windows 10 sürümüne ve Windows Server 2008’den Windows Server 2019’a kadar tüm Windows sürümleri için mevcuttur.
Mikro yamayı sisteminize kurmak için önce 0patch hesabı oluştur ve sonra yükleyin 0 yama ajanı.
Aracıyı başlattıktan sonra, engellemek için herhangi bir özel yama kurumsal ilkesini etkinleştirmediyseniz, mikro yama yeniden başlatma olmadan otomatik olarak uygulanacaktır.