Styra’nın Açık Politika Aracısında (OPA) artık yamalanmış bir güvenlik kusuru hakkında ayrıntılar ortaya çıktı; bu kusur başarıyla kullanılırsa Yeni Teknoloji LAN Yöneticisi (NTLM) karmalarının sızmasına yol açabilirdi.
Siber güvenlik firması Tenable, The Hacker ile paylaştığı bir raporda, “Güvenlik açığı, bir saldırganın OPA sunucusunun yerel kullanıcı hesabının NTLM kimlik bilgilerini uzak bir sunucuya sızdırmasına ve potansiyel olarak saldırganın kimlik doğrulamasını aktarmasına veya şifreyi kırmasına olanak tanımış olabilir.” dedi. Haberler.
Sunucu İleti Bloğu (SMB) zorla kimlik doğrulama güvenlik açığı olarak tanımlanan ve CVE-2024-8260 (CVSS puanı: 6,1/7,3) olarak takip edilen güvenlik açığı, Windows için hem CLI’yi hem de Go yazılım geliştirme kitini (SDK) etkiliyor.
Sorunun özünde, OPA uygulamasını çalıştıran Windows cihazında oturum açmış olan kullanıcının Net-NTLMv2 karmasının sızdırılmasıyla yetkisiz erişime yol açabilecek hatalı giriş doğrulamasından kaynaklanıyor.
Ancak bunun işe yaraması için kurbanın 445 numaralı bağlantı noktası üzerinden giden Sunucu İleti Bloğu (SMB) trafiğini başlatabilecek konumda olması gerekir. Orta önem derecesine katkıda bulunan diğer önkoşullardan bazıları aşağıda listelenmiştir:
- OPA CLI’nin yürütülmesinin önünü açan, kullanıcının ortamdaki ilk dayanağı veya sosyal mühendisliği
- OPA CLI veya OPA Go kütüphanesinin işlevlerine argüman olarak Rego kural dosyası yerine Evrensel Adlandırma Kuralı (UNC) yolunu geçirmek
Bu şekilde yakalanan kimlik bilgileri daha sonra kimlik doğrulamayı atlamak için bir geçiş saldırısı düzenlemek veya şifreyi çıkarmak için çevrimdışı kırma işlemi gerçekleştirmek üzere silah haline getirilebilir.
Tenable güvenlik araştırmacısı Shelly Raban, “Bir kullanıcı veya uygulama Windows’ta uzak bir paylaşıma erişmeye çalıştığında, yerel makineyi uzak sunucuda NTLM aracılığıyla kimlik doğrulaması yapmaya zorlar” dedi.
“Bu işlem sırasında, yerel kullanıcının NTLM karması uzak sunucuya gönderilir. Bir saldırgan, kimlik bilgilerini yakalamak için bu mekanizmayı kullanabilir, böylece kimlik doğrulamasını aktarabilir veya karmaları çevrimdışı kırabilir.”
19 Haziran 2024’te sorumluların yaptığı açıklamanın ardından güvenlik açığı, 29 Ağustos 2024’te yayımlanan 0.68.0 sürümünde giderildi.
Şirket, “Açık kaynak projeler yaygın çözümlere entegre edildikçe, bunların güvenli olmasını ve satıcıları ve müşterilerini artan saldırı yüzeyine maruz bırakmamasını sağlamak büyük önem taşıyor” dedi. “Ek olarak kuruluşlar, sistemlerini korumak için kesinlikle gerekli olmadıkça hizmetlerin kamuya açık olmasını en aza indirmelidir.”
Açıklama, Akamai’nin Microsoft Uzaktan Kayıt Hizmeti’nde (CVE-2024-43532, CVSS puanı: 8,8) bir saldırganın NTLM geçişi aracılığıyla SİSTEM ayrıcalıkları kazanmasına izin verebilecek bir ayrıcalık yükseltme kusuruna ışık tutması üzerine geldi. 1 Şubat 2024’te bildirildikten sonra bu ayın başında teknoloji devi tarafından yama uygulandı.
“Güvenlik açığı WinReg’deki bir geri dönüş mekanizmasını kötüye kullanıyor [RPC] Akamai araştırmacısı Stiv Kupchik, “SMB aktarımının mevcut olmaması durumunda eski aktarım protokollerini güvensiz bir şekilde kullanan istemci uygulaması” dedi.
“Saldırgan, bu güvenlik açığından yararlanarak istemcinin NTLM kimlik doğrulama ayrıntılarını Active Directory Sertifika Hizmetleri’ne (ADCS) aktarabilir ve etki alanında daha fazla kimlik doğrulaması için bir kullanıcı sertifikası talep edebilir.”
NTLM’nin aktarma saldırılarına karşı duyarlılığı Microsoft’un gözünden kaçmadı; Microsoft, bu Mayıs ayının başlarında, kullanıcı kimlik doğrulamasını güçlendirme çabalarının bir parçası olarak Windows 11’de NTLM’yi Kerberos lehine kullanımdan kaldırma planlarını yineledi.
Kupchik, “Günümüzde çoğu RPC sunucusu ve istemcisi güvenli olsa da, zaman zaman güvenli olmayan uygulamaların kalıntılarını değişen derecelerde ortaya çıkarmak mümkündür” dedi. “Bu durumda, geçmişe ait olması daha iyi olan bir saldırı sınıfı olan NTLM geçişini gerçekleştirmeyi başardık.”