Microsoft tarafından geçen ay yamalanan iki kritik Active Directory Etki Alanı Denetleyicisi güvenlik açığından biri, orijinal hizmet reddi (DoS) saldırı zincirinin ötesine geçiyor ve birden fazla yama yapılmamış Windows sunucusunu aynı anda çökertmek için kullanılabilir. Uzmanlar birçok kuruluşun savunmasız kalmasından endişe ediyor.
SafeBreach’teki araştırmacılar, DoS hatasının şu şekilde takip edildiği bir analiz hazırladı: CVE-2024-49113. Bu güvenlik açığı, CVE-2024-49112 olarak takip edilen ve CVSS puanı 9,8 olan benzer bir uzaktan denetim yürütme (RCE) hatasıyla birlikte, veritabanlarında arama yapmak için kullanılan Active Directory’nin Basit Dizin Erişim Protokolü’nde (LDAP) keşfedildi. Her ikisi de Aralık ayında yamalandı Microsoft güvenlik güncelleştirmesi.
Microsoft, ciddiyetlerine ve potansiyel etkilerine rağmen LDAP kusurları hakkında pek fazla ayrıntı sunmadı; SafeBreach’in açıklamasının nedeni de bu. daha derine inmeye karar verdim ve daha fazlasını öğrenin.
SafeBreach raporunda “LDAP, Microsoft’un Active Directory’sindeki iş istasyonlarının ve sunucuların dizin hizmetleri bilgilerine erişmek ve bu bilgileri korumak için kullandığı protokoldür” ifadesine yer verildi.
Ek analiz DoS LDAP hatası saldırı zincirinin bir tehdit aktörü tarafından RCE’ye ulaşmak için de kullanılabileceğini, ancak daha da kötüsü, hedef sistemin etki alanı denetleyicisinin İnternet’e bağlı bir DNS sunucusu olduğu sürece herhangi bir Windows sunucusunu çökertmek için kullanılabileceğini gösterdi.
Microsoft LDAP Kusuru Neden Bu Kadar Tehlikeli?
Zengo Cüzdan’ın kurucu ortağı ve teknoloji sorumlusu Tal Be’ery, Aralık ayındaki Salı Yaması güncellemesinden önce, Windows Sunucuları çalıştıran her kuruluşun bu kusura karşı savunmasız olduğunu açıklıyor.
“Yani soru şu; bu kuruluşların kaç tanesi tüm sistemlerine ve özellikle de etki alanı denetleyicilerine yama uyguladı?” diye ekliyor.
Henüz güvenlik açığının vahşi ortamda istismar edildiğine dair bir gösterge yok, ancak Be’ery, PatchPoint’in şu sürümü yayınladığına işaret ediyor: yararlanma kodu Tehdit aktörlerine bir sinyal olarak.
“Böyle bir kodun halihazırda kullanıldığını varsayıyoruz ancak henüz bununla ilgili olumlu bir kanıtımız yok” diye ekliyor.
Tehdit aktörleri genellikle Be’ery’nin, Chutes and Ladders oyununa benzer bir labirentle karşılaştırdığı şekilde saldırıya uğramış tek bir cihazdan geçerek, sonunda tek bir uzlaşmadan büyük ödüle (kimlik bilgileriyle dolu alan adı denetleyicisi) doğru yol almaları gerekir. Bu, bu bilgisayar korsanlarının, savunmacılara siber saldırıyı tırmanmadan önce durdurma fırsatları sunan sistemin derinliklerine doğru ilerlemek için harcadıkları zamandır.
“Bu LDAP güvenlik açığıyla bilgisayar korsanları doğrudan 1. kareden 100. kareye gidebilirler [domain controllers] Savunmacılar yanıt veremeden önce” diye ekliyor.
SafeBreach araştırması ayrıca Microsoft’un Aralık 2024 yamalarının etkili olduğunu doğruladı; bu nedenle yöneticilerin Windows Sunucularına ve tüm etki alanı denetleyicilerine derhal yama yapmaları isteniyor.
Be’ery, sunuculara yama uygulanamıyorsa savunmacılara “bu güvenlik açığından yararlanılmasını engellemek için LDAP ve RPC güvenlik duvarları gibi telafi edici kontroller kullanmalarını” öneriyor.