Güvenlik araştırmacıları, kurumsal ağ altyapısının kritik ancak sıklıkla gözden kaçan bir bileşeni olan Active Directory Sitelerini hedef alan tehlikeli bir saldırı vektörünü ortaya çıkardı.
Quentin Roland tarafından yakın zamanda yapılan bir teknik analize göre saldırganlar, ayrıcalıkları yükseltmek ve potansiyel olarak tüm etki alanlarını tehlikeye atmak için AD Siteleri içindeki ACL tabanlı saldırı yollarından yararlanabilir.
Bu keşif, saldırgan güvenlik topluluğunun büyük ölçüde dikkatinden kaçan önemli bir güvenlik açığını vurguluyor.
Active Directory Siteleri, coğrafi olarak dağınık kuruluşlarda ağ performansını ve bant genişliği kullanımını optimize etmek için tasarlanmıştır.
Bu siteler, yüksek düzeyde bağlantılı alt ağları gruplandırır ve kimlik doğrulama ve çoğaltma trafiğini verimli bir şekilde yönetmek için etki alanı denetleyicilerini atar.
Bu özellikler önemli operasyonel amaçlara hizmet ederken aynı zamanda çoğu güvenlik ekibinin hafife aldığı gizli bir saldırı yüzeyi de oluşturur.
Güvenlik açığı, sitelerin, yanlış yapılandırıldığında saldırganların etki alanları arasında yanlamasına hareket etmesine olanak tanıyan erişim kontrol listeleriyle (ACL’ler) ilişkilendirilebilmesi nedeniyle ortaya çıkıyor.
Araştırmacılar, sitelerin bir orman içindeki birden çok farklı etki alanından istemcileri ve etki alanı denetleyicilerini içerebileceğini belirlediler. Bu alanlar arası ilişki, karmaşık ayrıcalık yükseltme senaryolarının temelini oluşturur.
Saldırı Nasıl Çalışır?
Saldırganlar, Active Directory ortamında yükseltilmiş ayrıcalıklar elde etmek için site tabanlı ACL’lerden yararlanabilir.
Site yapılandırmalarını değiştirerek ve Grup İlkesi Nesnesi’nden (GPO) yararlanma tekniklerinden yararlanarak, saldırganlar geleneksel güvenlik uyarılarını tetiklemeden etki alanları arasında geçiş yapabilir.
Saldırı özellikle etkilidir çünkü çoğu kuruluş, siteleri güvenlik açısından kritik bileşenler yerine operasyonel altyapı olarak ele alır.
Bu istismar yöntemi, saldırganların orman içi yanal hareket sırasında SID filtreleme yapılandırmalarını atlamasına olanak tanıyan, belgelenmiş ancak daha az bilinen tekniklere dayanır.
Bu, segmentasyon kontrolleri olan kuruluşların bile savunmasız kalabileceği anlamına gelir. Bir saldırgan tek bir siteyi ele geçirdiğinde, ormanın tamamındaki kaynaklara erişme potansiyeline sahip olur.
Güvenlik araştırmacıları yakın zamanda kuruluşların bu güvenlik açıklarını belirlemesine yardımcı olmak için popüler Active Directory saldırı yolu görselleştirme aracı BloodHound’a yönelik iyileştirmeler sundu.
Bu geliştirmeler, BT ekiplerinin site ACL saldırı yollarını, saldırganlar bu yolları istismar etmeden önce numaralandırmasına ve görselleştirmesine olanak tanır.
BloodHound kullanan kuruluşlar artık site yapılandırmalarını eşleyebilir ve riskli izin atamalarını belirleyebilir.
Kurumsal güvenlik ekipleri, Active Directory site yapılandırmalarını ve ilgili izinlerini derhal denetlemelidir.
Coğrafi olarak dağınık ortamlara sahip kuruluşlar, siteyle ilgili tüm nesnelerde ACL ayarlarının gözden geçirilmesine öncelik vermelidir.
Ayrıca en son BloodHound güncellemelerinin uygulanması, altyapılarındaki potansiyel saldırı yollarının belirlenmesine yardımcı olacaktır.
Bu keşif, Active Directory güvenlik tehditlerinin etki alanı denetleyicilerinin ve kullanıcı hesaplarının ötesine uzandığının bir hatırlatıcısıdır.
Siteler gibi fiziksel ağ altyapısı bileşenleri, tüm ortamları tehlikeye atacak şekilde silah haline getirilebilir. Kapsamlı Active Directory ormanlarını yöneten kuruluşlar, site güvenliğini birinci öncelik olarak ele almalı ve tehdit modellemelerine site tabanlı saldırı vektörlerini dahil etmelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.