Siber güvenlik araştırmacıları, NT LAN Manager (NTLM) v1’i devre dışı bırakmak için tasarlanan Microsoft Active Directory Grup İlkesinin, yanlış yapılandırma nedeniyle önemsiz bir şekilde atlanabileceğini buldu.
Silverfort araştırmacısı Dor Segal, The Hacker News ile paylaşılan bir raporda, “Şirket içi uygulamalardaki basit bir yanlış yapılandırma, Grup İlkesini geçersiz kılabilir ve NTLMv1 kimlik doğrulamalarını durdurmak için tasarlanan Grup İlkesini etkili bir şekilde geçersiz kılabilir.” dedi.
NTLM, özellikle Windows ortamlarında ağ üzerinden kullanıcıların kimliğini doğrulamak için hala yaygın olarak kullanılan bir mekanizmadır. Eski protokol, geriye dönük uyumluluk gereklilikleri nedeniyle kaldırılmamış olsa da 2024 ortası itibarıyla kullanımdan kaldırıldı.
Geçen yılın sonlarında Microsoft, Windows 11, sürüm 24H2 ve Windows Server 2025’ten başlayarak NTLMv1’i resmi olarak kaldırdı. NTLMv2, geçiş saldırıları gerçekleştirmeyi zorlaştırmak için yeni hafifletici önlemler sunarken, teknoloji, Microsoft tarafından aktif olarak istismar edilen çeşitli güvenlik zayıflıkları tarafından kuşatılmıştır. Tehdit aktörlerinin hassas verilere erişmesi.
Bu kusurlardan yararlanmanın amacı, kurbanı keyfi bir uç noktaya kimlik doğrulaması yapmaya zorlamak veya kimlik doğrulama bilgilerini duyarlı bir hedefe iletmek ve kurban adına kötü niyetli eylemler gerçekleştirmektir.
Segal, “Grup İlkesi mekanizması Microsoft’un ağ genelinde NTLMv1’i devre dışı bırakma çözümüdür” dedi. “LMCompatibilityLevel kayıt defteri anahtarı, Etki Alanı Denetleyicilerinin NTLMv1 iletilerini değerlendirmesini engelliyor ve NTLMv1 ile kimlik doğrulaması yapılırken yanlış parola hatası (0xC000006A) döndürüyor.”
Ancak Silverfort’un araştırması, Grup İlkesini atlatmanın ve Netlogon Uzaktan Protokolü’ndeki (MS-NRPC) bir ayardan yararlanarak NTLMv1 kimlik doğrulamasını kullanmaya devam etmenin mümkün olduğunu buldu.
Spesifik olarak, ParameterControl adında bir alan içeren NETLOGON_LOGON_IDENTITY_INFO adlı bir veri yapısından yararlanır ve bu alan da “Yalnızca NTLMv2’ye (NTLM) izin verildiğinde NTLMv1 kimlik doğrulamasına izin ver (MS-NLMP)” şeklinde bir yapılandırmaya sahiptir.
Segal, “Bu araştırma, şirket içi uygulamaların NTLMv1’i etkinleştirecek şekilde yapılandırılabileceğini ve Active Directory’de ayarlanan Grup İlkesi LAN Manager kimlik doğrulama düzeyinin En Yüksek Düzeyini geçersiz kıldığını gösteriyor” dedi.
“Yani kuruluşlar bu grup politikasını belirleyerek doğru şeyi yaptıklarını düşünüyorlar, ancak bu politika hala yanlış yapılandırılmış uygulama tarafından atlanıyor.”
NTLMv1’in oluşturduğu riski azaltmak amacıyla, etki alanındaki tüm NTLM kimlik doğrulaması için denetim günlüklerinin etkinleştirilmesi ve istemcilerden NTLMv1 mesajlarını kullanmasını isteyen savunmasız uygulamalara karşı dikkatli olunması önemlidir. Ayrıca kuruluşların sistemlerini güncel tutmalarının tavsiye edildiğini söylemeye gerek yok.
Açıklama, HN Güvenlik araştırmacısı Alessandro Iandoli’nin, Windows 11’deki (sürüm 24H2’den önce) çeşitli güvenlik özelliklerinin, çekirdek düzeyinde rastgele kod yürütülmesini sağlamak için nasıl atlanabileceğini ayrıntılarıyla anlatmasıyla geldi.