Microsoft Access, Microsoft tarafından geliştirilen ve kullanıcıların verileri depolamasına ve yönetmesine olanak tanıyan ilişkisel bir veritabanı yönetim sistemidir.
Bilgisayar korsanları bunu hedefliyor çünkü Access’teki güvenlik açıklarından yararlanılarak veritabanlarına yetkisiz erişim sağlanarak hassas bilgilerin tehlikeye atılması sağlanabiliyor.
Checkpoint’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının Windows kullanıcılarının NTLM belirteçlerini çalmak için Microsoft Access özelliğini aktif olarak kötüye kullandığını veya istismar ettiğini keşfetti.
Bilgisayar korsanları Microsoft Access’i istismar ediyor
Microsoft’un 1993 NTLM’si, güncelliğini kaybetmiş bir sorgulama-yanıt kimlik doğrulama protokolüdür ve kullanıcılar, yanıtları depolanan bir NTLM karmasından alır ve bu da bir güvenlik endişesi yaratır.
Aşağıda, NTLM’ye yönelik popüler olan tüm saldırılardan bahsettik: –
NTLM’nin tanıtılmasından önce Kerberos gibi protokollerde NTLM saldırılarına karşı azaltıcı önlemler mevcuttu.
NTLM bağlantı noktalarında (139 ve 445) giden trafiğin engellenmesi geçici bir çözümdür, ancak MS-Access “Erişim Bağlantı Tabloları”nı kullanan yeni bir yöntem bu savunmayı atlayarak doğrudan dahili kullanıcıları hedef alabilir.
MS Access’teki bağlantılı tablolar, uzak SQL sunucuları gibi harici veritabanlarına verimli bağlantılara olanak tanır. Özelliğin etkinleştirilmesi, ‘Dış Veriler’in altındaki ‘ODBC Veritabanı’na tıklamayı içerir.
Bu, daha sonra yerel olarak kabul edilen uzak tabloların tek seferlik indirilmesine yönelik alternatif bir seçenekle birlikte tüm Office sürümleri için geçerlidir.
ODBC kaynağı olarak ‘SQL Server’ı seçen kullanıcı daha sonra bir kimlik doğrulama yöntemi seçer ve bağlantı noktasını varsayılan olarak bırakabilir veya bağlantı noktası 80 gibi garip bir bağlantı noktası seçebilir.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Alışılmadık bir durum olsa da, bir SQL sunucusu 80 numaralı bağlantı noktasını dinleyebilir. Kimlik doğrulama başarılı olursa bağlantılı tablo istemcinin listesinde görünür ve CheckPoint raporunu okur.
Tıklandığında uzak veritabanıyla bağlantı kurulur ve kullanıcının Windows kimlik bilgileri SQL sunucusunda kimlik doğrulaması yapmak için kullanılır.
Saldırgan silahlandırmak için 80 numaralı bağlantı noktasında bir sunucu kurar, IP’sini sunucu takma adı alanına koyar ve dosyayı kurbana gönderir.
Saldırganın kontrol ettiği sunucu, kurbanın dosyayı açıp tabloya tıklaması durumunda NTLM geçiş saldırısı gerçekleştirebilir. Kurbanın açılıp tıklamasını sağlamak zor olsa da MS-Access makroları bunu otomatikleştirebilir.
Korumalı görünüm gibi güvenlik özellikleri basit MS-Access makroları için geçerli değildir ve potansiyel olarak kullanıcıları risklere maruz bırakır.
Microsoft Access, Windows’ta diğer uygulamaların nesne işleme isteğinde bulunmasını sağlayan bir OLE bağlantı sunucusudur. MS Paint’in onu görüntülemek için işlediği MS Word’e bir görüntüyü gömme işlevi görür.
Benzer şekilde, MS Word’deki bir .accdb dosyası, MS Access tarafından 80/tcp bağlantı noktası aracılığıyla işlenen, otomatik olarak indirilebilen bir OLE nesnesi görevi görür.
Azaltmalar
Aşağıda, araştırmacılar tarafından önerilen tüm azaltıcı önlemlerden bahsettik: –
- “İçeriğe duyarlı” bir güvenlik duvarını tercih edin; bu, gelişmiş güvenlik için paket incelemesini birleştirerek hedef bağlantı noktası kontrollerinin ötesine geçer.
- MS-Access makrolarını devre dışı bırakın veya Office paketiniz için gereksizse bunları kaldırın.
- Bilinmeyen veya şüpheli kaynaklardan gelen ekleri açmamaya dikkat edin.
- Gelişmiş güvenlik için her zaman sağlam bir güvenlik çözümü kullanın.
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamasının otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.