Google’ın sahibi olduğu Mandiant, eski kimlik doğrulama protokollerinin güvenlik risklerini göstermede önemli bir artışa işaret ederek, Net-NTLMv1 gökkuşağı tablolarından oluşan kapsamlı bir veri kümesini kamuya açıkladı.
Sürüm, acil bir mesajın altını çiziyor: Kuruluşlar, 1999’dan bu yana kriptografik olarak bozulan ve en az 2012’den beri güvensiz olduğu yaygın olarak bilinen, kullanımdan kaldırılmış bir protokol olan Net-NTLMv1’den derhal uzaklaşmalı.
Yirmi yıldır süren güvenlik uyarılarına rağmen, Mandiant danışmanları aktif kurumsal ortamlarda Net-NTLMv1’i tanımlamaya devam ediyor; bu da kurumsal ataletin iyileştirmenin önünde kritik bir engel olmaya devam ettiğini öne sürüyor.
Bu sürümün önemi, kimlik bilgilerinin kurtarılmasına yönelik operasyonel engelin önemli ölçüde azaltılmasında yatmaktadır. Daha önce Net-NTLMv1’den yararlanmak, hassas kimlik doğrulama verilerinin üçüncü taraf hizmetlere yüklenmesini veya kaba kuvvet saldırıları için pahalı özel donanımların yüklenmesini gerektiriyordu.
Mandiant’ın veri seti artık güvenlik profesyonellerinin kimlik doğrulama anahtarlarını 600 ABD dolarından daha düşük maliyetli, tüketici sınıfı donanım kullanarak 12 saatten kısa sürede kurtarmasına olanak tanıyor. Bu erişilebilirlik, Net-NTLMv1’i teorik bir güvenlik açığından çok daha geniş bir tehdit aktörü tabanının erişebileceği pratik bir saldırı vektörüne dönüştürür.
Rainbow Tables, NTLMv1 Yönetici Hack’ini Etkinleştiriyor
Güvenlik açığı, Net-NTLMv1’in bilinen bir düz metin saldırısı (KPA) mekanizmasına bağımlı olmasından kaynaklanmaktadır. Bir saldırgan, bilinen düz metin değeri olan 1122334455667788 için Genişletilmiş Oturum Güvenliği (ESS) olmadan bir Net-NTLMv1 karması elde ettiğinde, kimlik doğrulaması yapan Active Directory nesnesinin parola karmasına eşit olan anahtar malzemeyi kurtarmak için kriptografik saldırılar uygulayabilir.
Saldırı zinciri genellikle, gelen bağlantıları zorlamak için PetitPotam veya DFSCoerce gibi araçlar kullanılarak etki alanı denetleyicileri gibi yüksek ayrıcalıklı hedeflere karşı kimlik doğrulama zorlamasıyla başlar.
Saldırganlar yakalandıktan sonra, ntlmv1-multi gibi yardımcı programları kullanarak Net-NTLMv1 karmalarını DES bileşenlerine önceden işler, ardından DES anahtarlarını kurtarmak için RainbowCrack veya RainbowCrack-NG gibi araçlarla Mandiant’ın gökkuşağı tablolarını uygular.
Nihai anahtar bileşen, özel araçlar kullanılarak hesaplanabilir veya aranabilir ve kimlik bilgilerinin tehlikeye atılması için tam NT karma değeri yeniden oluşturulabilir.
Yaygın bir yükseltme yolu, etki alanı denetleyicisi makine hesabı karmasının kurtarılmasını içerir; bu, daha sonra DCSync saldırılarının Active Directory içindeki herhangi bir hesabı tehlikeye atmasını sağlar.
Gökkuşağı tabloları, ilk olarak 1980’de Martin Hellman tarafından önerilen ve resmi gelişimi Philippe Oechslin tarafından 2003’te yayınlanan bir zaman-bellek değiş tokuş tekniğini temsil eder.
Hashcat, Ağustos 2016’da bilinen düz metin kullanarak DES anahtarlarını kırmak için destek ekleyerek Net-NTLMv1 kullanımını daha da demokratikleştirdi. Mandiant’ın sürümü, geniş ölçekte kimlik doğrulama saldırılarının tamamını ortadan kaldırmak için Google Cloud’un bilgi işlem kaynaklarını ön saflardaki güvenlik uzmanlığıyla birleştiriyor.
Veri kümesine Google Cloud Research Veri Kümesi portalı veya gsutil komutları aracılığıyla ulaşılabilir. SHA512 sağlama toplamları veri kümesi bütünlüğünün doğrulanmasını sağlar ve güvenlik topluluğu halihazırda hem CPU hem de GPU işleme için optimize edilmiş türev uygulamalar oluşturmuştur.
Saldırganlar, Net-NTLMv1 anlaşmasını zorlamak için kimlik doğrulamasını 1122334455667788 statik değerine ayarlayarak Responder’ı –lm ve –disable-ess işaretleriyle kullanır.
Kuruluşlar, “Kimlik Doğrulama Paketi” alanı için Windows Olay Günlüğü Olay Kimliği 4624’ü (“Bir Hesap başarıyla oturum açıldı”) filtreleyerek bu etkinliği algılayabilir ve “LM” veya “NTLMv1” değerleri göründüğünde uyarı verebilir.
Etkiyi anında azaltmak için kuruluş genelinde Net-NTLMv1’in devre dışı bırakılması gerekir. Windows sistemleri, Yerel Güvenlik Ayarları veya Grup İlkesi aracılığıyla, özellikle “Ağ Güvenliği: LAN Manager kimlik doğrulama düzeyi” ayarları aracılığıyla “Yalnızca NTLMv2 yanıtını gönder” şeklinde yapılandırılmalıdır.
Ancak kuruluşlar, yerel sistem yapılandırmasının, saldırganların ele geçirme sonrasında sürüm düşürme ayarlarına yönetici erişimine sahip olmasını sağladığını ve yalnızca politika uygulamasının ötesinde sürekli izleme ve tespit mekanizmaları gerektirdiğini unutmamalıdır.
Mandiant’ın gökkuşağı tablolarının piyasaya sürülmesi Net-NTLMv1 güvenlik tartışmalarında önemli bir döneme işaret ediyor. Bir zamanlar akademik bir endişe olan şey, acil kurumsal dikkat ve kapsamlı iyileştirme stratejileri gerektiren pratik, erişilebilir bir saldırı vektörüne dönüştü.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
