Güvenlik araştırmacısı Dolev Taler, Microsoft Outlook’ta yakın zamanda yamalanan ve saldırganların kullanıcıların NTLM v2 karmalarını çalmak için kullanabileceği bir güvenlik açığından (CVE-2023-35636), özel hazırlanmış bir dosya taşıyan bir e-postaya iki başlık eklenerek yararlanılabileceğini söyledi. Cuma.
Kendisi ve Varonis Tehdit Laboratuvarlarından meslektaşları, saldırganların kullanıcıların NTLM v2 karmalarını alıp bunları çevrimdışı kaba kuvvet veya kimlik doğrulama aktarma saldırıları için kullanabilecekleri iki ek yol daha ortaya çıkardı.
CVE-2023-35636 düzeltilmiş olsa da, diğer iki güvenlik açığı Microsoft tarafından “orta” önemde olarak kabul ediliyor ve yama yapılmadan kalıyor.
Saldırganlar çalınan NTLM v2 karmalarını nasıl (yanlış) kullanabilir?
NTLM v2 – NTLM şifreleme protokolünün en güncel yinelemesi – Microsoft Windows tarafından parola karmaları aracılığıyla kullanıcıların uzak sunucularda kimlik doğrulamasını yapmak için kullanılır.
Güvenliği ihlal edilmiş NTLM v2 parola karmaları, kimlik doğrulama aktarma saldırılarında kullanılabilir veya karma hale getirilmiş parolayı açığa çıkarmak için kaba kuvvetle (çevrimdışı, saldırganın makinesinde) kullanılabilir.
Her iki durumda da tehdit aktörü kullanıcı olarak kimlik doğrulayabilir ve hassas kurumsal sistemlere ve kaynaklara erişebilir.
“Kimlik doğrulama aktarma saldırılarında, kullanıcının NTLM v2 kimlik doğrulama istekleri ele geçiriliyor, farklı bir sunucuya iletiliyor. Daha sonra kurbanın makinesi kimlik doğrulama yanıtını saldırganın sunucusuna gönderecek ve saldırgan bu bilgiyi kurbanın amaçlanan sunucusunda kimlik doğrulaması yapmak için kullanabilir,” diye açıkladı Taler.
NTLM v2 karmalarını almanın üç yolu
Varonis araştırmacıları NTLM v2 karmalarının dışarı kaçırılabileceğini keşfetti:
- Microsoft Outlook’taki güvenlik açıklarından yararlanarak
- URI işleyicilerini (yani protokol işleyicilerini) ve WPA’yı (Windows Performans Analizcisi, yazılım geliştiricileri tarafından kullanılan bir araç) kullanarak ve
- Windows Dosya Gezgini’ni kullanarak
Her üç saldırı yolu için de PoC açıklarını paylaştılar ve her üç saldırı senaryosunda da kurbanın bir bağlantıya veya düğmeye bir veya iki kez tıklaması gerektiğini belirttiler.
Özellikle Outlook güvenlik açığından, yazılımın kullanıcılar arasında takvim paylaşma yeteneğinden yararlanılarak yararlanılması kolaydır.
“Saldırgan, kurbana ‘.ICS’ dosya yolunu saldırganın kontrolündeki makineye yönlendiren bir e-posta daveti hazırlıyor. Taler, kendi kendini kontrol eden bir yolu (etki alanı, IP, klasör yolu, UNC vb.) “dinleyerek”, bu kaynağa erişmeye çalışmak için kullanılan karma değeri içeren bağlantı denemesi paketlerini elde edebilir,” diye belirtti.
“Kurban mesajın içindeki ‘Bu iCal’i aç’ düğmesini tıklarsa, makinesi saldırganın makinesindeki yapılandırma dosyasını almaya çalışacak ve kimlik doğrulama sırasında kurbanın NTLM karma değerini açığa çıkaracak.”
NTLM v2 karmalarını saldırganların elinden nasıl uzak tutabilirim?
Daha önce de belirtildiği gibi Outlook güvenlik açığı Aralık 2023’te Microsoft tarafından düzeltildi ancak geri kalan ikisi hala mevcut.
Taler, “Yama uygulanmamış sistemler, bu yöntemlerle karma şifreleri çalmaya çalışan tehdit aktörlerine karşı savunmasız kalıyor” dedi.
Microsoft yakın zamanda NTLM kullanımını azaltmak ve bunu Windows 11’de tamamen devre dışı bırakmayı planladığını açıkladı.
Bu arada Taler, kuruluşların kendilerini NTLM v2 saldırılarına karşı koruyabilmelerinin birkaç yolu olduğunu ekledi: SMB imzalamayı açarak (önceden açık değilse, varsayılan olarak), giden NTLM v2 kimlik doğrulamasını engelleyerek ve gerektiğinde Kerberos kimlik doğrulamasını zorlayarak. mümkün ve NTLM v2’yi hem ağ hem de uygulama düzeyinde engelliyor.