Kerberos’u 2000 yılında varsayılan Windows kimlik doğrulama protokolü haline getirdiğinden beri Microsoft, daha az güvenli ve eskimiş karşılığı olan NTLM’yi sonunda kullanımdan kaldırmak için çalışıyor.
NTLM varsayılan olarak devre dışı bırakılıncaya kadar Microsoft, NTLM aktarma saldırılarına karşı savunmayı güçlendirmek için çalışıyor.
NTLM geçiş saldırıları nasıl çalışır?
NTLM, istemci (kimliği doğrulanmak isteyen) ile sunucu (doğru kullanıcının/bilgisayarın kimliğinin doğrulandığından emin olan) arasındaki bir sorgulama/yanıt mekanizmasına dayalı olarak kullanıcıların ve bilgisayarların kimliğini doğrulayan bir Microsoft protokolleri paketidir.
İstemcinin sunucunun meydan okumasına verdiği yanıt, kullanıcının parolasının karma değerinin bir şifreleme anahtarı olarak kullanılmasını içerir ve saldırganların kötüye kullanabileceği, kullanıcıların oturum açma kimlik bilgilerinin karma değeridir.
NTLM geçiş saldırıları, saldırganların şifreyi çözmeye ve kullanıcının şifresini çıkarmaya gerek kalmadan NTLM karmasını göndermesine olanak tanır.
“Outlook aracılığıyla gönderilen ofis belgeleri ve e-postalar, UNC bağlantılarını içlerine yerleştirme yetenekleri göz önüne alındığında, saldırganların NTLM zorlama güvenlik açıklarından yararlanmaları için etkili giriş noktaları olarak hizmet ediyor. Microsoft, NTLM ve Office uygulamalarını içeren son güvenlik açıklarının arasında CVE-2024-21413, CVE-2023-23397 ve CVE-2023-36563’ün bulunduğunu belirtti.
EPA, Windows Server 2025’te varsayılan olarak etkindir
Microsoft’un kullanıcıların ve sistemlerin güvenliğini artırma çabaları, şirketin varsayılan olarak Genişletilmiş Kimlik Doğrulama Koruması (EPA) ve Basit Dizin Erişim Protokolü için varsayılan olarak kanal bağlamanın etkinleştirildiği Windows Server 2025’i piyasaya sürmesiyle bu ayın başlarında başka bir önemli dönüm noktasına ulaştı. (LDAP).
“Server 2025’te EPA için mevcut varsayılan ayarın şu şekilde olduğunu unutmayın: Etkin – DesteklendiğindeKanal bağlamalarını desteklemeyen istemcilerin bunları atlamasına izin vermek için. Eski istemcileri desteklemeye ihtiyaç duymayan kuruluşlar için daha güçlü bir EPA güvenlik ayarı Etkin – Her ZamanMicrosoft, Windows’un gelecek sürümlerinde bu ilerlemeyi daha da ileriye taşımayı umuyoruz” dedi.
“Ek olarak, Windows Server 2022 ve 2019’daki Yöneticiler, AD CS için EPA’yı ve LDAP için Kanal bağlamayı manuel olarak etkinleştirebilir. BT yöneticilerinin kanal bağlamayı destekleyen sürümlere yükseltme yaparak varsayılan olarak kanal bağlamayı etkinleştirmeye yönelmelerine yardımcı olmak amacıyla kanal bağlamayı desteklemeyen makineleri belirlemek için LDAP denetim desteğini etkinleştirdik.”
Microsoft, bu yılın başlarında Exchange Server 2019’un yeni ve mevcut yüklemeleri için varsayılan olarak EPA’yı etkinleştirdi ve Exchange Server 2016 için isteğe bağlı bir özellik olarak komut dosyasıyla etkinleştirilen Genişletilmiş Koruma desteğini sundu.