.jpg)
Microsoft’un Active Directory (AD) hizmetindeki bir erişim denetimi açığı, Windows ortamlarındaki kullanıcıların kimliklerinin doğrulandığı alanların ötesindeki etki alanlarına erişmesine izin verebilirken, BT yöneticilerinin hiçbiri daha akıllı değildir.
Microsoft’un bilgisayarların, yazıcıların, kullanıcıların veya gerçekten bir BT ortamına katılan herhangi bir şeyin kimliğini doğrulamak için kapsamlı kimlik yönetimi hizmeti olan AD, çoğu Windows etki alanı tipi ağda yerleşiktir. Frost & Sullivan’a göre Global Fortune 1000 şirketlerinin %90’ı da dahil olmak üzere on binlerce kuruluş hizmeti kullanıyor.
Ağ yöneticileri, bir etki alanı genelinde kimlik doğrulamasını yönetmek için AD’yi kullanır ve hedeflenen kullanıcıların — sadece hedeflenen kullanıcılar — tahsis edilen kaynaklara erişebilir — sadece tahsis edilenler.
Bununla birlikte, 14 Mart’ta yayınlanan bir raporda, Semperis’te güvenlik araştırmacısı olan Charlie Clark, bir kullanıcının AD içindeki korkuluklardan nasıl kurtulabileceğini ve kendilerine açıkça izin verilmeyen etki alanlarına nasıl erişebileceğini ayrıntılı olarak açıkladı.
“Bir saldırganın saldırı yüzeyini büyük ölçüde artırıyor,” diye açıklıyor, “ve açıkçası, saldırı yüzeyi ne kadar büyükse, bir saldırganın kötüye kullanılabilir bir böcek bulma olasılığı o kadar yüksek.”
MSFT AD’nin “Geçişli Güven” Sorunu
Matematiğin geçişli özelliğine göre a = b ve b = c ise a = c olur.
AD’de, etki alanı A etki alanı B’ye ve etki alanı B etki alanı C’ye bağlanırsa, etki alanları A ve C, bir “geçişli güveni” paylaşıp paylaşmamalarına bağlı olarak birbirlerine erişebilir veya erişemeyebilir. Microsoft’un belgelerinde belirtildiği gibi, “geçişlilik, bir güvenin birlikte oluşturulduğu iki etki alanının dışına genişletilip genişletilemeyeceğini belirler.”
İki farklı kuruluşa ait iki etki alanı, AD’de manuel olarak ayarlanan ve geçişsiz bir güven biçimi olan bir “dış güven” taşıyabilir. Bununla birlikte, Clark’ın bulduğu sorun burada yatmaktadır: harici güven, bir şirket tarafından aynı gruptaki (Microsoft’un “orman” olarak adlandırdığı) kardeş etki alanlarına erişmek için kullanılabilir ve bunun için resmi bir dış güven oluşturulmamıştır. Clark diyor.
Clark, “Geçişsiz güvenler hakkında düşündüklerimiz doğru olsaydı,” diye açıklıyor, bir etki alanından kimliği doğrulanmış bir kullanıcı, “yalnızca güvendikleri belirli etki alanını hedefleyebilirdi. Etrafta hareket edemezlerdi. ormanı diğer etki alanlarına.”
Bunun yerine, “güvenilen etki alanındaki herhangi bir hesap, güvenen etki alanının bulunduğu tüm ormandaki herhangi bir etki alanına karşı kimlik doğrulaması yapabilecektir” diye yazdı analizinde.
Bir ormanın etrafında istediği gibi yuva yapmayı öğrenen kötü niyetli bir kullanıcı, kaynaklara erişebilir, hesaplara ulaşabilir ve başka türlü bulamamaları gereken verileri bulabilir.
Clark, “Bir saldırganın, güvenilir bir etki alanındaki herhangi bir düşük ayrıcalıklı hesaptan çok daha geniş bir saldırı yüzeyine sahip olmasına olanak tanır,” diye gerekçe gösterir, çünkü “bir orman içindeki tek bir etki alanını ele geçirmeyi başarırsanız, tüm etki alanını ele geçirmek çok kolaydır. orman.”
Clark, bulgularını ilk olarak 4 Mayıs 2022’de Microsoft’a bildirdi. 29 Eylül’de Microsoft, bir e-postada “Bu gönderimin hizmet için bir güvenlik açığı tanımını karşılamadığını belirledik. bir Microsoft ürününde veya hizmetinde, bir saldırganın bir Microsoft teklifinin bütünlüğünden, kullanılabilirliğinden veya gizliliğinden ödün vermesine olanak tanıyan bir zayıflık.” Bununla şirket davayı kapattı.
Bu yazı itibariyle Microsoft, Dark Reading’in yorum talebine henüz yanıt vermedi.
Güven Neden Önemlidir?
Clark, 15 yılı aşkın bir süre sistem yöneticisi ve altı yıl boyunca kalem testçisi olarak çalıştı. “Çalıştığım orta ila büyük ölçekli her işletme veya altyapının dış güvenleri oldu” diye iddia ediyor. Bu mantıkla, AD’nin müşterilerinin çoğunun şu anda muhtemelen risk altında olduğunu iddia ediyor.
Erişim kontrolünün bu şekilde kötüye kullanılmasına karşı koruma sağlamak için Clark, yöneticilerin tüm harici güvenleri kaldırmasını önerir. Bu mümkün değilse, sonraki en iyi şey, hangi kullanıcıların neye eriştiğini izlemektir.
Sonunda en önemli şey farkındalıktır. Aksi takdirde, yöneticiler yanlış bir güvenlik duygusuna kapılabilir. Clark, “Güvenilir bir etki alanının daha yüksek bir risk olduğunu görebilirler. Bu nedenle, bu etki alanına daha fazla güvenlik uygulayabilirler,” diye açıklıyor, ancak “orman içindeki diğer etki alanlarına aynı düzeyde güvenlik uygulamayabilirler.” benzer risk.
Clark, “Bence asıl mesele, sistem yöneticilerinin bunun mümkün olduğunun farkına varmasını sağlamak,” diye sözlerini tamamlıyor. Bunu bilerek, “alan alanının geri kalanını yeterince sağlamlaştırabilirler.”