Yönetişim ve Risk Yönetimi, Yama Yönetimi, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Saldırganlar Kimlik Bilgilerini Aktarmak ve Sistemleri Ele Geçirmek İçin Kusurdan Yararlanabilir
Anviksha Daha Fazla (AnvikshaDevamı) •
22 Ekim 2024
Güvenlik politikalarını yönetmeye yönelik en popüler araçlardan birinde, artık yamalanmış bir güvenlik açığı, saldırganların milyonlarca kullanıcıdan hassas kimlik bilgilerini ele geçirmesine olanak tanıyabilir.
Ayrıca bakınız: Active Directory Masterclass | Bir Saldırgan Gibi Düşünün, Bir Profesyonel Gibi Savun
Tenable’daki güvenlik araştırmacıları, Styra’nın Açık Politika Aracısını çalıştıran Windows sistemlerinin kimlik bilgilerini açığa çıkarabilecek CVE-2024-8260 kusurunu ortaya çıkardı. Tenable, bu güvenlik açığına CVSS puanı olarak 6,1 atadı ve bu da onu orta düzeyde bir risk haline getiriyor.
Styra, OPA’nın son sürümünde (v0.68.0) sorunu düzeltti. Windows’ta çalışan tüm eski OPA örnekleri güvenlik açığına sahiptir ve bunlara yama uygulanması gerekir. Windows’ta OPA CLI veya OPA Go paketini dağıtan kuruluşlar en son sürüme güncelleme yapmalıdır.
Bu kusur, saldırganın, saldırgan tarafından kontrol edilen uzak bir sunucuda kimlik doğrulaması yapması için kötü amaçlı bir komut göndererek OPA’dan yararlanmasına olanak tanıyor. Bu işlem sırasında NTLM kimlik bilgileri (makinede oturum açmak için kullanılan şifreler) sızdırılabilir.
Güvenlik açığı, uzlaşma sonrası faaliyetlerin bir parçası olarak kullanılabilir. Bir saldırgan, potansiyel olarak kullanıcıyı kimlik avı e-postasındaki kötü amaçlı bir dosya eki yoluyla OPA’yı çalıştırması için kandırmak gibi sosyal mühendislik taktikleri yoluyla sistemde bir yer edindikten sonra. Saldırganlar sisteme girdikten sonra, tehlikeye atılan ortamı Evrensel Adlandırma Kuralı yolunu kullanarak sunucularına bağlanmaya yönlendirerek bu güvenlik açığından yararlanabilirler. UNC yolu, bir ağdaki kaynakların konumunu tanımlamak için kullanılan standart bir formattır ve genellikle sunucuadıpaylaşımadı olarak görünür. Saldırgan, sistemi kandırarak kötü amaçlı bir sunucuya erişme girişiminde bulunmak için UNC yolunu kullanabilir.
Bu istismarı gerçekleştirmek için saldırgan, OPA’nın politika dilinde yazılmış özel politika bildirimleri olan Rego kurallarını kullanabilir. Bu kurallar UNC yolunu içerecek şekilde değiştirilebilir ve OPA’yı saldırganın sunucusuyla iletişim kurmaya yönlendirebilir.
Saldırgan aynı zamanda komut satırı arayüzü argümanlarını (OPA çalıştırılırken sağlanan girdiler) UNC yolunu bu argümanlara dahil ederek değiştirebilir. Bu tekniklerin birleşimi, saldırganların güvenlik açığından yararlanmasına olanak tanıyarak, kimlik doğrulama işlemi sırasında hassas kimlik bilgilerinin yetkisiz bir şekilde açığa çıkmasını kolaylaştırır.
Tenable, “Bir kullanıcı veya uygulama Windows’ta uzak bir paylaşıma erişmeye çalıştığında, yerel makineyi uzak sunucuda NTLM yoluyla kimlik doğrulaması yapmaya zorlar. Bu işlem sırasında yerel kullanıcının NTLM karması uzak sunucuya gönderilir” dedi. araştırmacılar.
“Saldırganlar sızdırılan kimlik doğrulamasını aktarabilir veya bu kimlik bilgilerini diğer sistemlere sızmak için kullanabilir.”
OPA güvenlik açığından yararlanmak kolay değildir. Hedef sunucuya yerel erişim ya da sosyal mühendislik taktikleri yoluyla kodun başarılı bir şekilde yürütülmesi ya da başka bir güvenlik açığından yararlanılması gerekir. Ancak, savunmasız OPA sunucusunun kullanıcılardan veya üçüncü taraflardan gelen girdileri kabul etmesi durumunda, özellikle de etkilenen platformun internete dönük olması durumunda, istismar olasılığı ve kolaylığı önemli ölçüde artar.
Pek çok kuruluş, etkili bir şekilde çalışması için genellikle dinamik giriş gerektiren, bulut tabanlı uygulamalarında güvenlik politikalarını uygulamak için OPA’yı kullanıyor; dolayısıyla OPA sunucularının kullanıcılardan veya üçüncü taraflardan gelen girişleri kabul etmesi muhtemeldir. Bu senaryoda saldırganlar güvenlik açığından yararlanmayı daha kolay bulabilir.