Araştırmacılar, Active Directory’nin NTLMv1 azaltma stratejisinde, yanlış yapılandırılmış şirket içi uygulamaların NTLMv1’i devre dışı bırakmayı amaçlayan Grup İlkesi ayarlarını atlayabildiği kritik bir kusur keşfettiler. Bu güvenlik açığı, saldırganların güncel olmayan kimlik doğrulama protokolünü kullanmasına olanak tanır.
Bu baypas, saldırganların NTLMv1 trafiğini ele geçirmesine, kullanıcı kimlik bilgilerini çevrimdışı olarak kırmasına ve şirket içi uygulamalara bağımlı olan kuruluşlar ve çeşitli cihaz ortamlarına sahip olanlar için önemli bir risk oluşturan ağ içinde yetkisiz erişim elde etmesine olanak tanır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Şirket İçi Uygulamalarda NTLMv1 Kullanımının Riskleri
NTLMv1, güncelliğini kaybetmiş bir kimlik doğrulama protokolüdür ve birçok Windows ortamında güvenlik riski oluşturmaya devam etmektedir. Microsoft, NTLMv1’in aktif gelişimini kullanımdan kaldırmış ve etki alanı çapında engelleme gibi önlemler uygulamış olsa da, eski sistemler nedeniyle tamamen kaldırılması zor olmaya devam ediyor.
Kuruluşların, NTLMv1’e bağımlılıklarını dikkatli bir şekilde değerlendirmeleri ve bu risklere maruz kalmalarını en aza indirmek için Kerberos gibi daha güvenli kimlik doğrulama protokollerine ve modern alternatiflere geçişe öncelik vererek sağlam risk azaltma stratejileri uygulamaları gerekir.
İstemci, sunucuya bir Anlaşma mesajı göndererek ve NTLM desteğini bildirerek kimlik doğrulamayı başlatır, sunucu ise rastgele bir sayı içeren bir Challenge mesajıyla yanıt verir.
Daha sonra istemci bu numarayı kimlik bilgileriyle birleştirir ve sonucu kullanıcı adı, etki alanı ve oturum bilgileriyle birlikte bir Kimlik Doğrulama mesajıyla gönderir, bu sırada sunucu karma değerini doğrular ve başarılı olursa erişim izni verir.
NTLMv1 Güvenlik Açıkları
NTLMv1, öngörülebilir bir 8 baytlık sunucu sorunu olan zayıf şifreleme (DES) ve geçiş saldırılarını mümkün kılan kaynak/hedef bilgilerinin eksikliği gibi zayıflıklardan muzdaripti.
NTLMv2, bir istemci sorgulaması sunarak ve her kimlik doğrulama için benzersiz oturum anahtarları oluşturmak üzere AV_PAIRS’i dahil ederek daha güçlü RC4 şifrelemesi uygulayarak bu sorunları giderdi.
Active Directory sunucuları, NTLM mesajlarını uzaktan değerlendirmek, kimlik bilgilerini Etki Alanı Denetleyicisine göre doğrulamak ve güvenli kimlik doğrulamayı sağlamak için Netlogon RPC arabirimini kullanır.
MS-NRPC protokolü spesifikasyonu, NETLOGON_LOGON_IDENTITY_INFO yapısı içinde, uygulamaların Grup İlkesi kısıtlamalarını atlamasına ve açıkça devre dışı bırakıldığında bile NTLMv1 kimlik doğrulamasını kullanmasına olanak tanıyan bir işaret içerir.
ParameterControl alanındaki bu “NTLMv1 kimlik doğrulamasına izin ver” bayrağı, Netlogon hizmetine, LMCompatibilityLevel kayıt defteri anahtarı bunu engelleyecek şekilde ayarlanmış olmasına rağmen NTLMv1 kimlik doğrulamasına izin vermesi talimatını verir.
Kötü amaçlı uygulamalar bu işaretten yararlanarak, güvenlik açıklarını tamamen ortadan kaldırmayı amaçlayan ve NTLMv1 ile ilişkili güvenlik önlemlerini aşabilmektedir.
Windows’ta NTLMv1 bypass’ının yakın zamanda açıklanması, Grup İlkesi’nin bu güncelliğini kaybetmiş kimlik doğrulama protokolünü tamamen ortadan kaldırma konusundaki sınırlamalarını vurguluyor.
Daha yüksek LMCompatibilityLevel ayarlarına sahip Windows istemcileri NTLMv1 isteklerine direnirken, Windows dışı istemciler ve belirli uygulamalar güvenlik önlemlerini atlayan NTLMv1 kimlik doğrulamasını tetiklemeye devam edebilir.
Silver Fort’a göre kuruluşların, NTLM kullanan uygulamaları kapsamlı bir şekilde eşleyerek ve SSO veya Kerberos gibi modern kimlik doğrulama yöntemlerini uygulayarak savunmasız uygulamaları proaktif olarak tespit edip düzelterek NTLM denetim günlüklerini etkinleştirmesi gerekiyor.
Bu proaktif yaklaşım, Microsoft’un NTLMv1’i aşamalı olarak kaldırarak güvenliği artırma taahhüdüyle uyumludur ve güvenli bir BT ortamı sağlamak için sürekli izleme ve iyileştirme çabalarının önemini gösterir.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri