Yeni bir NTLM’deki sıfır gün güvenlik açığı 0patch’teki araştırmacılar tarafından keşfedildi saldırganların, kullanıcının özel hazırlanmış bir kötü amaçlı dosyayı Windows Gezgini’nde görüntülemesini sağlayarak NTLM kimlik bilgilerini çalmasına olanak tanır; kullanıcının dosyayı açmasına gerek yoktur. Bu parola karmaları, kimlik doğrulama aktarma saldırıları veya parolaya yönelik sözlük saldırıları için (her ikisi de kimlik ele geçirme amacıyla) kullanılabilir.
NTLM, Microsoft’un kullanıcılara kimlik doğrulama, bütünlük ve gizlilik sağlayan eski kimlik doğrulama protokolleri paketini ifade eder. NTLM iken resmi olarak kullanımdan kaldırıldı Haziran ayı itibarıyla araştırmamız gösteriyor ki Active Directory kullanıcı hesaplarının %64’ü NTLM ile düzenli olarak kimlik doğrulaması yapılması, NTLM’nin bilinen zayıflıklarına rağmen hala yaygın olarak kullanıldığının kanıtıdır.
Bu kusur, NTLM v2 kullanan ortamlarda bile kullanılabilir; bu da onu henüz Kerberos’a geçmemiş ve hala NTLM’ye güvenen kuruluşlar için önemli bir risk haline getirmektedir. Microsoft’un bir süre bu sorunu düzeltmeyebileceğini göz önünde bulundurarakkurumsal savunucular, ortamlarındaki güvenlik açığını azaltmak için adımlar atmalıdır. Bu Teknik İpucu, Dinamik Erişim İlkelerinin, birkaç sağlamlaştırma adımının ve MFA’nın bu güvenlik açığından yararlanma girişimlerini sınırlamaya nasıl yardımcı olabileceğini özetlemektedir. Mümkün olduğunda protokolün yükseltilmesi sorunu tamamen ortadan kaldırabilir.
NTLM Güvenlik Açığı Nedir?
Bir kullanıcı Windows Gezgini’nde kötü amaçlı bir dosyayı görüntülediğinde (paylaşılan bir klasöre giderek, kötü amaçlı dosyayı içeren bir USB sürücüsü takarak veya yalnızca İndirilenler klasöründe kötü amaçlı bir web sayfasından otomatik olarak indirilen bir dosyayı görüntüleyerek), giden bir NTLM bağlantısı tetiklenir. Bu, Windows’un o anda oturum açmış olan kullanıcının NTLM karmalarını uzaktaki saldırgan tarafından kontrol edilen bir paylaşıma otomatik olarak göndermesine neden olur.
Bu NTLM karmaları daha sonra ele geçirilebilir ve kimlik doğrulama aktarma saldırıları ve hatta sözlük saldırıları için kullanılabilir, böylece saldırganların hassas sistemlere yetkisiz erişimi sağlanır. Senkronize edilen kullanıcı oranlarının yüksek olması nedeniyle saldırganların, kuruluşun hizmet olarak yazılım ortamına erişmek için açığa çıkan parolaları kullanabilme riski de bulunmaktadır.
Sorun, Windows 7 ve Server 2008 R2’den en son Windows 11 24H2 ve Server 2022’ye kadar tüm Windows sürümlerini etkilemektedir.
NTLM ile ilgili temel sorun, eski protokol tasarımında yatmaktadır. NTLM, düz metin parolalarını doğrulamak yerine parola karmalarını ileterek onu müdahaleye ve istismara karşı savunmasız hale getirir. Daha güçlü şifreleme kullanan NTLM v2’de bile karmalar hâlâ saldırganlar tarafından yakalanıp aktarılabiliyor. NTLM’nin zayıf kriptografik uygulamalara dayanması ve geçiş saldırılarına karşı koruma eksikliği, onu oldukça istismar edilebilir kılan temel zayıflıklar. Üstelik NTLM kimlik doğrulaması, Çok Faktörlü Kimlik Doğrulama (MFA) gibi modern güvenlik özelliklerini desteklemez ve sistemleri, karma geçişi ve karma geçişi gibi çeşitli kimlik bilgisi hırsızlığı tekniklerine açık bırakır.
Savunmacıların yapması gerekenler
Bu güvenlik açığını azaltmak için Microsoft, nasıl yapılacağına ilişkin önceki kılavuzu güncelledi. Kimlik Doğrulama için Genişletilmiş Korumayı etkinleştir (EPA) LDAP, Active Directory Sertifika Hizmetleri (AD CS) ve Değişim Sunucusu. Windows Server 2022 ve 2019’da yöneticiler, AD CS için EPA’yı ve LDAP için kanal bağlamayı manuel olarak etkinleştirebilir. Var Microsoft tarafından sağlanan komut dosyaları EPA’yı Exchange Server 2016’da manuel olarak etkinleştirmek için. Mümkün olduğunda, hem AD CS hem de LDAP için EPA ve kanal bağlama varsayılan olarak etkinleştirilmiş olarak geldiğinden en son Windows Server 2025’e güncelleyin.
Bazı kuruluşlar eski sistemler nedeniyle hâlâ NTLM’ye bağımlı olabilir. Bu ekipler, mevcut NTLM eski sistemlerini kötüye kullanıma karşı korumak için Dinamik Risk Tabanlı Politikalar gibi ek kimlik doğrulama katmanlarını dikkate almalıdır.
LDAP yapılandırmalarını güçlendirin. Kanal bağlamayı zorunlu kılmak ve bu ayarları desteklemeyebilecek eski istemcileri izlemek için LDAP’yi yapılandırın.
SaaS üzerindeki etkiyi kontrol edin. Ortamınızda NTLMv2’yi kullanan uygulamaların veya istemcilerin olup olmadığından emin değilseniz, Grup İlkesi’ni kullanarak etkinleştirebilirsiniz. Ağ Güvenliği: NTLM’yi Kısıtla: Gelen NTLM trafiğini denetleyin politika ayarı. Bu, NTLMv2 trafiğini engellemez ancak NTLMv2 kullanılarak yapılan tüm kimlik doğrulama girişimlerini İşlem Günlüğü’ne kaydeder. Bu günlükleri analiz ederek hangi istemci uygulamalarının, sunucularının veya hizmetlerinin hala NTLMv2’ye bağlı olduğunu belirleyebilir ve böylece hedefe yönelik ayarlamalar veya güncellemeler yapabilirsiniz.
NTLM kimlik doğrulamasını sınırlamak veya devre dışı bırakmak için Grup İlkesi’ni kullanma Ağ güvenliği: NTLM’yi kısıtla Bu ayar, NTLM’nin istemeden kullanıldığı geri dönüş senaryolarının riskini azaltacaktır.
KOBİ trafiğini izleyin. SMB imzalamayı ve şifrelemeyi etkinleştirmek, saldırganların meşru sunucuların kimliğine bürünmesini ve NTLM kimlik doğrulamasını tetiklemesini önlemeye yardımcı olabilir. Güvenilmeyen ağlara giden KOBİ trafiğinin engellenmesi, NTLM kimlik bilgilerinin hileli sunuculara sızma riskini de azaltacaktır. Olağandışı KOBİ trafik kalıpları, özellikle de bilinmeyen veya güvenilmeyen IP adreslerine giden istekler için ağ izleme ve uyarı uygulayın.
NTLM’yi geride bırakın. NTLM kullanımdan kaldırıldı. Yöneticiler, hangi sistemlerin hala NTLM’ye bağlı olduğunu belirlemek için NTLM kullanımını denetlemelidir. Kuruluşlar, bu sistemleri NTLM’den Kerberos gibi daha modern kimlik doğrulama protokollerine geçirmeye öncelik vermelidir. Daha modern bir protokol uygulamaya konduğunda, ek bir koruma katmanı eklemek için çok faktörlü kimlik doğrulamayı (MFA) uygulayın.
Bu adımların atılması, kuruluşların NTLM’deki temel kusurları gidermelerine ve güvenlik duruşlarını iyileştirmelerine yardımcı olacaktır.