Bilgisayar Korsanları Microsoft Access Özelliğini NTLM Tokenlarına Uyguluyor


Bilgisayar korsanları Microsoft Access'i kötüye kullanıyor

Microsoft Access, Microsoft tarafından geliştirilen ve kullanıcıların verileri depolamasına ve yönetmesine olanak tanıyan ilişkisel bir veritabanı yönetim sistemidir.

Bilgisayar korsanları bunu hedefliyor çünkü Access’teki güvenlik açıklarından yararlanılarak veritabanlarına yetkisiz erişim sağlanarak hassas bilgilerin tehlikeye atılması sağlanabiliyor.

DÖRT

Checkpoint’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının Windows kullanıcılarının NTLM belirteçlerini çalmak için Microsoft Access özelliğini aktif olarak kötüye kullandığını veya istismar ettiğini keşfetti.

Bilgisayar korsanları Microsoft Access’i istismar ediyor

Microsoft’un 1993 NTLM’si, güncelliğini kaybetmiş bir sorgulama-yanıt kimlik doğrulama protokolüdür ve kullanıcılar, yanıtları depolanan bir NTLM karmasından alır ve bu da bir güvenlik endişesi yaratır.

Aşağıda, NTLM’ye yönelik popüler olan tüm saldırılardan bahsettik: –

NTLM’nin tanıtılmasından önce Kerberos gibi protokollerde NTLM saldırılarına karşı azaltıcı önlemler mevcuttu.

NTLM bağlantı noktalarında (139 ve 445) giden trafiğin engellenmesi geçici bir çözümdür, ancak MS-Access “Erişim Bağlantı Tabloları”nı kullanan yeni bir yöntem bu savunmayı atlayarak doğrudan dahili kullanıcıları hedef alabilir.

MS Access’teki bağlantılı tablolar, uzak SQL sunucuları gibi harici veritabanlarına verimli bağlantılara olanak tanır. Özelliğin etkinleştirilmesi, ‘Dış Veriler’in altındaki ‘ODBC Veritabanı’na tıklamayı içerir.

Bilgisayar korsanları Microsoft Access'i kötüye kullanıyor
ODBC Veritabanı (Kaynak – Kontrol noktası)

Bu, daha sonra yerel olarak kabul edilen uzak tabloların tek seferlik indirilmesine yönelik alternatif bir seçenekle birlikte tüm Office sürümleri için geçerlidir.

ODBC kaynağı olarak ‘SQL Server’ı seçen kullanıcı daha sonra bir kimlik doğrulama yöntemi seçer ve bağlantı noktasını varsayılan olarak bırakabilir veya bağlantı noktası 80 gibi garip bir bağlantı noktası seçebilir.

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.


Alışılmadık bir durum olsa da, bir SQL sunucusu 80 numaralı bağlantı noktasını dinleyebilir. Kimlik doğrulama başarılı olursa bağlantılı tablo istemcinin listesinde görünür ve CheckPoint raporunu okur.

Tıklandığında uzak veritabanıyla bağlantı kurulur ve kullanıcının Windows kimlik bilgileri SQL sunucusunda kimlik doğrulaması yapmak için kullanılır.

Bilgisayar korsanları Microsoft Access'i kötüye kullanıyor
Sunucunun IP adresini, portunu ve protokolünü seçmek için diyalog kutusu (Kaynak – Kontrol noktası)

Saldırgan silahlandırmak için 80 numaralı bağlantı noktasında bir sunucu kurar, IP’sini sunucu takma adı alanına koyar ve dosyayı kurbana gönderir.

Saldırganın kontrol ettiği sunucu, kurbanın dosyayı açıp tabloya tıklaması durumunda NTLM geçiş saldırısı gerçekleştirebilir. Kurbanın açılıp tıklamasını sağlamak zor olsa da MS-Access makroları bunu otomatikleştirebilir.

Korumalı görünüm gibi güvenlik özellikleri basit MS-Access makroları için geçerli değildir ve potansiyel olarak kullanıcıları risklere maruz bırakır.

Microsoft Access, Windows’ta diğer uygulamaların nesne işleme isteğinde bulunmasını sağlayan bir OLE bağlantı sunucusudur. MS Paint’in onu görüntülemek için işlediği MS Word’e bir görüntüyü gömme işlevi görür.

Benzer şekilde, MS Word’deki bir .accdb dosyası, MS Access tarafından 80/tcp bağlantı noktası aracılığıyla işlenen, otomatik olarak indirilebilen bir OLE nesnesi görevi görür.

Azaltmalar

Aşağıda, araştırmacılar tarafından önerilen tüm azaltıcı önlemlerden bahsettik: –

  • “İçeriğe duyarlı” bir güvenlik duvarını tercih edin; bu, gelişmiş güvenlik için paket incelemesini birleştirerek hedef bağlantı noktası kontrollerinin ötesine geçer.
  • MS-Access makrolarını devre dışı bırakın veya Office paketiniz için gereksizse bunları kaldırın.
  • Bilinmeyen veya şüpheli kaynaklardan gelen ekleri açmamaya dikkat edin.
  • Gelişmiş güvenlik için her zaman sağlam bir güvenlik çözümü kullanın.

Patch Manager Plus, 850’den fazla üçüncü taraf uygulamasının otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.



Source link