Yakın zamanda yapılan bir araştırma, saldırganların Windows kullanıcı kimlik bilgilerini çalmak için IBM i Access Client Solutions’taki (ACS) güvenlik açıklarından yararlandığını ortaya çıkardı.
Bu endişe verici keşif, IBM’in Windows 11’in Yerel Güvenlik Yetkilisi (LSA) Koruması ile uyumluluk sorunları nedeniyle yakın zamanda kullanımdan kaldırdığı WINLOGON kimlik doğrulama moduyla ilişkili riskleri vurguluyor.
IBM ACS, IBM i sistemlerini yönetmek için yaygın olarak kullanılan bir araçtır. Kullanıcıların ek istemler olmadan Windows kimlik bilgilerini kullanarak oturum açmalarına olanak tanıyan WINLOGON da dahil olmak üzere çeşitli kimlik doğrulama yöntemleri sunar.
Ancak Windows 11 24H2 güncellemesi, hassas kimlik bilgilerini yetkisiz erişime karşı korumak için tasarlanmış bir güvenlik özelliği olan LSA Korumasını kullanıma sundu. Bu güncelleme, IBM’in destek belgelerinde belirtildiği gibi WINLOGON modunu uyumsuz hale getirdi.
LSA Koruması, LSASS.exe işleminden sırları çıkaran meşhur Mimikatz aracının kullandığı gibi kimlik bilgisi hırsızlığı tekniklerini önlemek için çok önemlidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
LSA, kimlik bilgisi güvenliğini güçlendirmeyi hedeflerken, IBM ACS gibi üçüncü taraf yazılımlarla etkileşimi yeni saldırı yüzeyleri yarattı.
Kullanım Ayrıntıları
Silent Signal araştırmacıları, IBM ACS’nin *WINLOGON* özelliğinin, kullanıcı oturum açma işlemleri sırasında “mpnotify.exe” işlemi aracılığıyla yüklenen Windows Ağ Sağlayıcısı DLL’leri ile etkileşime girdiğini keşfetti.
Bu DLL’ler bir geri arama işlevi aracılığıyla düz metin kimlik bilgileri alır ve bu da onları saldırganlar için birincil hedef haline getirir.
Saldırganlar, Ağ Sağlayıcı siparişinden sorumlu Windows Kayıt Defteri anahtarını (‘HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order’) değiştirerek, oturum açma işlemine kötü amaçlı DLL’ler ekleyebilir.
Bu hileli DLL’ler, oturum açma sırasında düz metin Windows parolalarına müdahale ederek kimlik bilgilerinin toplanmasını mümkün kılabilir. Sorun, IBM ACS’nin bu kimlik bilgilerini işlemesi nedeniyle daha da kötüleşiyor.
Uzak IBM i sistemlerine kesintisiz bağlantıları kolaylaştırmak için ACS, düz metin parolalarını Windows Kayıt Defteri’nde zayıf düzeyde gizlenmiş bir değer altında saklar.
Bu tasarım kusuru, yerel erişime sahip saldırganların depolanan kimlik bilgilerinin kodunu çözmesine ve almasına olanak tanır.
Bu güvenlik açığı tamamen yeni değil. Benzer bir sorun, 2016 yılında Tenable araştırmacılarının IBM System i Navigator’ın parola depolama mekanizmasında zayıf bir gizleme tespit etmesiyle rapor edilmişti.
Bu erken uyarıya rağmen IBM, WINLOGON’u artan güvenlik endişeleri nedeniyle özelliği aşamalı olarak kaldırmaya başladığı 2024’ün sonlarına kadar desteklemeye devam etti.
Gecikmiş yanıt, böylesine kritik bir güvenlik açığının kapsamlı bir şekilde ele alınmadan önce neden yaklaşık on yıl boyunca devam ettiğine dair soruları gündeme getiriyor. Şu anda bile, eski ACS sürümlerine veya yapılandırmalarına güvenen kullanıcılar açıkta kalabilir.
Azaltma ve Öneriler
IBM, kullanıcılara *WINLOGON* kimlik doğrulamasından çıkıp aşağıdaki gibi alternatif yöntemleri benimsemelerini tavsiye etti:-
Varsayılan Kullanıcı Profilleri: Kullanıcılardan oturum başına yalnızca bir kez şifreleri istenir ve kimlik bilgileri geçici olarak önbelleğe alınır.
Kerberos Kimlik Doğrulaması: Doğru yapılandırmayı gerektiren daha güvenli ancak karmaşık bir kurulum.
Diğer Araçlar: ‘cwblogon’ veya ‘.netrc’ dosyaları gibi seçenekler kullanılabilir ancak güvenli bir şekilde uygulanmadığı takdirde risk taşır. Ayrıca yöneticilerin, IBM ACS çalıştıran sistemlerdeki erişim denetimlerini gözden geçirmesi ve sıkılaştırması gerekir. Kayıt defteri değişikliklerini izlemek ve DLL yüklerini denetlemek, şüpheli etkinliğin tespit edilmesine yardımcı olabilir.
Bu durum, kurumsal yazılımlarda proaktif güvenlik açığı yönetiminin önemini vurgulamaktadır. Windows gibi platformlar gelişmiş güvenlik özellikleriyle geliştikçe, eski yazılımların da saldırı vektörleri haline gelmesini önlemek için hızla uyum sağlaması gerekiyor.
IBM i sistemlerini kullanan kuruluşlar için bu olay, güvenlik güncellemelerinin önceliklendirilmesi ve güncelliğini yitirmiş kimlik doğrulama mekanizmalarına bağımlılığın yeniden değerlendirilmesi için bir uyandırma çağrısı görevi görür.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri