Silverfort’un siber güvenlik araştırma ekibi, Microsoft’un Active Directory Grup Politikasında, NTLMv1 kimlik doğrulamasının görünüşte devre dışı olmasına rağmen devam etmesine izin veren önemli bir kusuru ortaya çıkardı.
Bu keşif, yanlış yapılandırılmış şirket içi uygulamaların, eski ve güvenli olmayan NTLMv1 protokolünün kullanımını engellemeyi amaçlayan Grup İlkesi ayarlarını atlayabildiği kritik bir güvenlik açığını vurguluyor.
NTLM (Yeni Teknoloji LAN Yöneticisi), Windows ortamlarında yaygın olarak kullanılan bir kimlik doğrulama protokolüdür.
Bununla birlikte, ilk sürümü olan NTLMv1, kaba kuvvet saldırılarına, kimlik bilgisi hırsızlığına ve geçiş saldırılarına karşı duyarlılık da dahil olmak üzere ciddi güvenlik açıklarıyla biliniyor.
NTLMv1’i Etkinleştirmek için Grup İlkesini Atlamak
Microsoft’un NTLMv1’i aşamalı olarak kaldırma çabalarına rağmen Silverfort’un bulguları, saldırganların Netlogon Uzaktan Protokolü’ndeki (MS-NRPC) bir yapılandırma boşluğundan yararlanabileceğini gösteriyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Saldırganlar, “NETLOGON_LOGON_IDENTITY_INFO” yapısındaki belirli bir işaretten yararlanarak, Grup İlkesi açıkça devre dışı bıraksa bile NTLMv1 kimlik doğrulamasını etkinleştirebilir.
Bu sorun özellikle endişe vericidir çünkü birçok kuruluş güvenlik önlemlerini uygulamak için Grup İlkesi’ne güvenmektedir.
Baypas, sahte bir güvenlik duygusu yaratarak ağları yanal hareket ve ayrıcalık artışı gibi saldırılara karşı savunmasız bırakır.
Silverfort, endişe verici bir şekilde, Active Directory kullanıcı hesaplarının %64’ünün hala NTLM protokollerini kullanarak kimlik doğrulaması yaptığını bildiriyor ve bu da yaygın riskin altını çiziyor.
Üçüncü taraf veya özel olarak oluşturulmuş şirket içi uygulamaları kullanan kuruluşlar en fazla risk altındadır. Kurumsal uygulamalara bağlanan macOS sistemleri gibi Windows olmayan cihazlar da güvenlik açığından etkilenebilir.
Örneğin, bir Mac cihazı NTLMv1 kullanacak şekilde yapılandırılmış bir bankacılık uygulamasına bağlanırsa, bir saldırgan kimlik doğrulama trafiğini yakalayabilir ve bu trafiği istismar edebilir.
Bu güvenlik açığının sonuçları ciddidir:
– Kimlik Bilgisi Hırsızlığı: Saldırganlar, zayıf şifreleme koruması nedeniyle NTLMv1 trafiğine müdahale edebilir ve kullanıcı kimlik bilgilerini çevrimdışı olarak kırabilir.
– Yanal Hareket: Kimlik bilgileri ele geçirildiğinde saldırganlar ağ içinde yanal olarak hareket edebilir.
– Ayrıcalık Artışı: Çalınan kimlik bilgileri, hassas sistemlere veya yönetici ayrıcalıklarına yetkisiz erişim sağlayabilir.
Silverfort, bir saldırganın Grup İlkesi kısıtlamalarını atlayarak bir uygulamayı nasıl taklit edebileceğini gösteren bir kavram kanıtı (PoC) aracılığıyla bu güvenlik açığını gösterdi.
Microsoft Güvenlik Yanıt Merkezi (MSRC) bu sorunu bir güvenlik açığı olarak sınıflandırmasa da proaktif önlemler almıştır.
Microsoft, Windows 11 sürüm 24H2 ve Windows Server 2025’ten başlayarak NTLMv1 desteğinin tamamen kaldırıldığını duyurdu.
Bu hamle, güncelliğini yitirmiş protokolle ilişkili eski riskleri ortadan kaldırmayı amaçlıyor
NTLM, eski şifreleme yöntemleri ve çok faktörlü kimlik doğrulama (MFA) ve sunucu kimlik doğrulaması gibi modern güvenlik özelliklerinin bulunmaması nedeniyle uzun süredir eleştiriliyor.
Yıllar geçtikçe NTLM protokollerinde çok sayıda güvenlik açığından yararlanıldı:
– Aktarma Saldırıları: Saldırganlar, kimlik doğrulama isteklerini yakalar ve yetkisiz erişim elde etmek için bunları aktarır.
– Hash Kırma: NTLMv1’in kısa karma uzunluğu onu özellikle kaba kuvvet saldırılarına karşı savunmasız hale getiriyor.
– Sıfır Gün İstismarları: Son saldırılar, kötü amaçlı yazılım dağıtımı ve sistemin tehlikeye atılması için NTLM güvenlik açıklarından yararlandı.
Bu risklere rağmen eski sistemler ve uyumluluk gereksinimleri NTLM’nin birçok kuruluşta kullanımını uzatmıştır.
Azaltma Stratejileri
Bu sorunu çözmek için kuruluşların acil adımlar atması gerekiyor:
1. Denetim Günlüğünü Etkinleştir: Etki alanı içindeki tüm NTLM kimlik doğrulama girişimlerini izleyin.
2. NTLM Kullanarak Uygulamaları Haritalayın: NTLM kimlik doğrulamasına dayanan uygulamaları belirleyin ve yapılandırmalarını değerlendirin.
3.DSavunmasız Uygulamaları Etkileyin: İstemcilerden NTLMv1 mesajları oluşturmasını isteyen uygulamaları tanımlamak için araçları kullanın.
4. Modern Kimlik Doğrulamayı Uygulayın: Mümkün olan her yerde NTLM’yi Kerberos veya SSO protokolleri gibi güvenli alternatiflerle değiştirin.
Microsoft’un NTLMv1’i kaldırma kararı ileriye doğru atılmış bir adım olsa da kuruluşların bu geçiş döneminde dikkatli olmaları gerekiyor. Ağları potansiyel istismarlara karşı korumak için kapsamlı denetim ve proaktif azaltma çok önemlidir.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri