Güvenlik Operasyonları
NTLM Yansıma Saldırısı Yine Saldırıyor
Greg Sirico •
21 Ekim 2025
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Microsoft tarafından kullanılan dosya paylaşımına yönelik ağ protokolündeki üç aylık bir kusurun aktif olarak istismar edildiği konusunda uyarıyor.
Ayrıca bakınız: Kimlik Bilgileri Riskinin Ortadan Kaldırılması
Pazartesi günü CISA, federal kurumlara Sunucu Mesaj Bloğu mesajlarının istemci tarafında bulunan uygunsuz bir erişim kontrolü güvenlik açığı olan CVE-2025-33073 için yamaları uygulamaları için 21 gün verdi.
Microsoft Haziran ayında bu güvenlik açığına yönelik bir yama yayınlayarak saldırganların sistem ayrıcalıklarını elde etmek için CVSS 8.8 kusurunu kullanabileceği konusunda uyarıda bulundu. Bir saldırgan, kurbanın makinesini saldırgan tarafından kontrol edilen bir sunucuya bağlanmaya ve bu sunucuda kimlik doğrulaması yapmaya zorlayan bir komut dosyası gönderebilir. Bu yılın başlarında yayınlanan analizde Synacktiv’den araştırmacılar, kusurun kötüye kullanılmasının, Microsoft’un yıllar içinde NTLM yansıma saldırılarını önlemek için oluşturduğu hafifletici önlemleri atladığını, ancak SMB imzalamayı zorlayan ağlarda başarısız olduğunu yazdı.
NTLM, Microsoft’un eski kimlik doğrulama protokolüdür ve 1993 yılında “Yeni Teknoloji LAN Yöneticisi” olarak tanıtılmıştır. Bilgi işlem devi NTLM’yi kullanımdan kaldırarak daha güvenli Kerberos kimlik doğrulama protokolünü tercih ediyor. NTLM, ister sunuculara sabit kodlanmış olduğundan ister Windows eşler arası çalışma grupları için hâlâ kimlik doğrulama protokolü olduğundan varlığını sürdürür. Synacktiv araştırmacıları, Kerberos’a rağmen CVE-2025-33073’ten yararlanabileceklerini keşfettiler çünkü kusurun kullanılması, yerel bir makineyi NTLM kullanarak kendi kimliğini doğrulamaya zorlayan bir komut dosyasına dayanıyor.
Betik, kurban makineleri aşağıdaki gibi bir DNS kaydını çözmeye zorlayarak yerel bir NTLM konumuna yönlendirir: localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAAM. Bilgisayar daha sonra her şeyi çıkarır localhostSynacktiv, bunun NTLM’nin kimlik doğrulamayı “makinenin ana bilgisayar adından bağımsız olarak” yerel olarak ele alacağı anlamına geldiğini yazdı.
Saldırganların daha sonra, artık yerel bir NTLM kimlik doğrulama belirtecine sahip olan kurban bilgisayarındaki Yerel Güvenlik Yetkilisi Alt Sistem Hizmetini, belirteci saldırgan tarafından kontrol edilen bir sunucuya sağlamaya zorlaması gerekir.
CISA’nın yetkisi yalnızca ABD federal kurumları için geçerlidir, ancak kurum, Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna eklenen herhangi bir kusurun herkes tarafından hızlı bir şekilde düzeltilmesini tavsiye etmektedir.
Kuzey Virginia’daki Bilgi Güvenliği Medya Grubu’ndan David Perera’nın raporuyla.