NTLM rölesi saldırıları, bir saldırganın etki alanına bağlı ana bilgisayarlardan ödün vermesinin en kolay yoludur. Birçok güvenlik uygulayıcısı NTLM rölesinin çözülmüş bir sorun olduğunu düşünürken, değil – ve aslında daha da kötüleşiyor olabilir. Anekdot olarak, işverenimin danışmanlık kolu tarafından görülen çoğu saldırıda kullanılırlar ve son birkaç yılda çok daha yaygın hale geldiler.
Çoğu ortam savunmasız olan NTLM, yanal hareket ve ayrıcalık artışı için zemin hazırlar. Bu saldırılar kimlik doğrulamalı kullanıcılardan kaynaklanır ve genellikle yüksek bir maruz kalma ve kritik bir etkiye neden olur.
İşte bu saldırıların nasıl çalıştığına, neyi hedefleyebileceklerine ve onlara karşı nasıl savunulacağına dair bir giriş.
Temel bilgiler
NTLM, 1990’lardan beri eski bir kimlik doğrulama protokolüdür. Kerberos, şimdi Active Directory ortamlarında tercih edilen kimlik doğrulama protokolüdür, ancak Kerberos uygulanabilir olmadığında, NTLM hala yaygın olarak kullanılmaktadır. Birçok yazılım, müzakere paketi yerine NTLM kimlik doğrulama paketini çağırmak için sert kodlanmıştır (Kerberos ve NTLM’yi sarar ve en uygun seçeneği müzakere eder).
NTLM kimlik doğrulaması üç mesaj içerir: müzakere, meydan okuma ve kimlik doğrulaması. İstemci, kimlik doğrulama akışını başlatmak için sunucuya bir mesaj gönderir, sunucu rastgele bir zorlukla yanıt verir ve istemci, doğru kimlik bilgilerine sahip olduğunu kanıtlayan bir şifreleme yanıtıyla yanıt verir. Bu, her kimlik doğrulama girişimini benzersiz hale getirir ve bir saldırganın geçerli bir kimlik doğrulama değişimini engellediği ve müşteriyi taklit etmek için paketleri/mesajları daha sonra tekrarlar.
NTLM ile ilgili sorun, saldırıları aktarma güvenlik açığıdır. Bir saldırgan, sunucu istemci için bir oturum oluşturana kadar, saldırganın sunucuda gerçekleştirebileceği herhangi bir işlem yapmasına izin veren bir istemci ve sunucu arasındaki NTLM mesajlarını ileri geri aktarabilir. Röle saldırıları, şifre çatlaması veya zayıf şifrelere güvenmek için zaman ve kaynaklar harcamadan hedefe doğrulamaya izin verir, bu da NTLM’yi kolay bir hedef haline getirir.
Bir NTLM röle saldırısının diyagramı
NTLM Röleler + Zorlu Kimlik Doğrulama
Ancak, bu saldırı, doğru zamanda kimlik doğrulamaya çalışan kurbana dayanmıyor mu? Aslında hayır. Röle saldırıları, kurbanı anında kimlik doğrulama isteği yapmaya zorlayan kimlik doğrulama zorlama saldırıları (yazıcı hatası veya petitpotam gibi) ile birleştirilebilir. Bu iki kimlik doğrulama zorlama tekniği, tüm kimlik doğrulamalı kullanıcılar (pratik olarak, herkes) tarafından gerçekleştirilebilir, böylece herkes tarafından bir röle saldırısı başlatılabilir.
Hedefler ve Saldırı Sonraki Adımlar
NTLM röle saldırılarının üç ortak hedefi vardır. Sonraki adımlar ve hafifletmeler her biri için farklıdır.
1. SMB sunucuları: Bir SMB sunucusuna karşı başarılı bir röle saldırısı bir oturum oluşturur. Yani, saldırganın bir sonraki adımları, röle kurbanının sahip olduğu erişimine bağlıdır. Örneğin, röle hedefindeki C $ veya Admin $ Share’e erişebilir, LSA sırlarını bilgisayar hesabı şifresi de dahil olmak üzere uzak kayıt defterinden dökebilir veya hizmet kontrol yöneticisi aracılığıyla yanal olarak hareket edebilirler. Ortak bir senaryo, SCCM Site sunucusundan zorlamayı zorlamayı ve tüm hiyerarşiyi devralmak için SCCM veritabanı sunucusuna aktarmayı içerir.
Çoğu Windows ana bilgisayarları, özellikle Windows sunucuları bu saldırıya karşı hassastır. Microsoft, Windows Server 2008 ve Windows Server 2025 ve Windows 11 ile başlayan tüm Windows ana bilgisayarları, varsayılan olarak SMB imzalamasını gerektirerek NTLM röle saldırılarını önlemek için bunları azaltmak için çalışıyor. Ve yine de, eski sürümlerde varsayılan olarak kapalıdır ve çoğu kuruluş bunu değiştirmez.
2. LDAP veya LDAP’ler: LDAP veya LDAP’ları hedeflemek SMB’yi hedeflemekten daha karmaşıktır, ancak oldukça verimli olabilir. Çoğu etki alanı denetleyicisi şu anda LDAP aracılığıyla NTLM röle saldırılarına karşı savunmasızdır.
LDAP sunucuları, LDAP imzalama ve LDAP kanalı bağlama ile röle saldırılarını hafifletmeyi destekler (her ikisi de röle saldırılarını önlemek için uygulanmalıdır). Ancak hiçbiri varsayılan olarak uygulanmaz ve çoğu kuruluş bu varsayılanları değiştirmez. Bu ayarların etki alanı düzeyinde değil, DC düzeyinde ayarlar olduğunu unutmayın, bu nedenle aynı ortamdaki farklı etki alanı denetleyicileri farklı yapılandırmalara sahip olabilir.
Olumlu bir geliştirme, Domain denetleyicilerinin artık Windows Server 2025’te LDAP SASL Bind’de Oturum Güvenliği yoluyla şifrelemeyi (sızdırmazlık) uyguladığıdır. Bu, LDAP veya LDAP’lere aktarmanın artık geçerli olmadığı anlamına gelir. Windows Server 2025’te daha fazla etki alanı denetleyicisi çalıştırıldıkça, bu saldırıya karşı güvenlik açığı azalacaktır.
3. ADCS Web Kayıt (ESC8): ADC’lere aktarmak SMB’ye aktarmaktan çok daha karmaşıktır, çünkü sertifika kötüye kullanımının çok fazla gereksinimi vardır. Bununla birlikte, aktarma mantığı hala nispeten basittir. ADCS Web kaydına aktarılması, saldırganın röle kurbanı için onları taklit etmek için kullanabilecekleri bir sertifika almasını sağlar. Meslektaşlarım Will Schroeder ve Lee Chagolla-Christensen bunu keşfettiler ve sertifikalı elindeki beyaz makalelerinde açıkladılar. CA röle saldırılarına duyarlıysa, uygun bir sertifika kaydettirebilen tüm bilgisayarlar ortaya çıkar. Varsayılan “Makine” sertifika şablonunun saldırı kriterlerini karşıladığını ve alan adındaki tüm bilgisayarları ortaya çıkardığını unutmayın.
Genel olarak, NTLM röle saldırıları birçok hareketli parça ile karmaşıktır, ancak operatör ne yaptığını biliyorsa hızlı ve yürütülmesi kolaydır. Kırmızı bir takımlayıcı olarak bir reklam ortamına saldırırken ekmek ve tereyağımız olduklarını söyleyebilirim. Bu saldırılardan herhangi birine izin veren koşullar bir ortamda mevcutsa, çok kötü!
Savunma ve Azaltma
Microsoft, varsayılan olarak NTLM’yi devre dışı bırakma da dahil olmak üzere bu saldırılar için çeşitli hafifletmeler üzerinde çalışıyor. Ama bu en az yıllar uzakta. Yakın vadede röle saldırılarına karşı korunmanın en iyi yolu, tüm sunucuların imzalama ve kanal bağlanmasını zorlamasını sağlamaktır. Bu, bu özellikleri desteklemeyen sunucular için yıkıcıdır, bu nedenle hangi sunucuların ideal olduğu konusunda hangi özelliklerin uygulanacağı konusunda spesifik olmak. NTLM rölesi saldırıları için ortamlarınızı değerlendirmenizi ve yüksek pozlama hedeflerine sürekli olarak öncelik vermenizi öneririm.