Windows için Açık İlke Aracısı (OPA) kullanan kuruluşlar, açık kaynak ilke uygulama motorunun önceki tüm sürümlerinde tanımlanan kimlik doğrulama karması sızıntısı güvenlik açığına karşı koruma sağlamak için v0.68.0 veya sonraki bir sürüme güncelleme yapmayı düşünmelidir.
CVE-2024-8260 tanımlayıcısını belirleyen güvenlik açığı, hatalı giriş doğrulamasından kaynaklanıyor ve saldırganların OPA’yı kötü amaçlı bir Sunucu İleti Bloğu (SMB) paylaşımına erişmesi için kandırmasına olanak tanıyor. Bu, kimlik bilgilerinin sızmasına ve hassas sistem bilgilerinin potansiyel olarak açığa çıkmasına neden olabilir.
Kimlik Bilgisi Sızıntılarını Etkinleştirme
Hatayı keşfeden Tenable araştırmacıları, “Başarılı bir şekilde istismar edilmesi, OPA uygulamasını çalıştıran Windows cihazında oturum açmış olan kullanıcının Net-NTLMv2 karmasının (veya sıradan bir ifadeyle kimlik bilgilerinin) sızdırılması yoluyla yetkisiz erişime yol açabilir” dedi. bir rapor yayınladı Bu hafta. “Sömürü sonrasında saldırgan, kimlik doğrulamasını NTLMv2’yi destekleyen diğer sistemlere aktarabilir veya şifreyi çıkarmak için çevrimdışı kırma işlemi gerçekleştirebilir.”
Birçok kuruluş, bulut yerel uygulamaları, mikro hizmetler ve API’ler de dahil olmak üzere yazılım yığınlarında yetkilendirme ve kaynak erişim politikalarını uygulamak ve uygulamak için Windows için OPA’yı kullanır. Teknoloji, kuruluşlara karma Linux ve Windows ortamlarında tutarlı politika otomasyonu ve uyumluluk sağlamanın bir yolunu sunuyor.
Tenable’ın keşfettiği güvenlik açığı aslında saldırganların savunmasız bir sistemi kimlik doğrulamaya zorlamak Saldırganın sunucusuna bağlanarak kullanıcı kimlik bilgilerini bu süreçte paylaşabilirsiniz. Sorun, Windows için OPA’nın eski sürümlerinin, aldıkları dosyaların türünü doğru şekilde doğrulamamasından kaynaklanıyordu. Normalde OPA yalnızca şunları kullanmalıdır: Rego dosyaları olarak bilinir Karar almayla ilgili kurallar ve politikalar için. Tenable’ın keşfettiği şey, uygunsuz doğrulama nedeniyle bir saldırganın, Rego dosyası yerine rastgele bir SMB paylaşımını OPA Komut Satırı Arayüzüne veya Go kitaplığı işlevlerinden birine aktarabileceğiydi. Saldırgan, SMB paylaşımındaki kendi sunucusuna bir yol ekleyebilir ve güvenlik açığı bulunan OPA örneğini çalıştıran sistemi kimlik doğrulaması yapmaya zorlayabilir.
Tenable, “Bu, kimlik bilgisi sızıntılarına veya kötü niyetli mantığın yürütülmesine yol açarak sistem bütünlüğü ve güvenliği açısından ciddi riskler oluşturabilir” dedi. CVE-2024-8260’ı kullanarak bir NTLM karması elde eden bir saldırgan, karmayı diğer sistem ve hizmetlerde kimlik doğrulaması yapmak, yanal hareket etmek, dosya paylaşımlarına bağlanmak ve parolayı çıkarmaya çalışmak dahil olmak üzere çeşitli şekillerde kullanabilir.
NTLM (Yeni Teknoloji LAN Yöneticisi) bir kimlik doğrulama protokolleri paketi Microsoft’tan, birçok kuruluşun kurumsal uygulama ve hizmetlerde tek oturum açmayı etkinleştirmek için kullandığı. Saldırganlar sıklıkla NTLM’yi sözde karma geçiş saldırıları Ve NTLM geçiş saldırıları, Burada aslında şifreyi bilmeden farklı uygulamalarda ve hizmetlerde kimlik doğrulaması yapmak için yakalanan karma değeri yeniden kullanıyorlar.
Açık Kaynak Risklerine İlişkin Bir Hatırlatma
Tenable, keşfettiği güvenlik açığını, kuruluşların açık kaynak yazılım ve kod kullanırken üstlendiği risklerin altını çizerek tanımladı. Black Duck’ın kendi kitabında anlattığı araştırmada “2024 Açık Kaynak Güvenlik ve Risk Analizi Raporu” Satıcı, incelediği kod tabanlarının yaklaşık %96’sının açık kaynak bileşenleri içerdiğini buldu. Bu kod tabanlarındaki kodların ortalama %77’si açık kaynaktan geliyor. Risk değerlendirmesine tabi tutulan kod tabanlarının %84’ü bir veya daha fazla güvenlik açığı içeriyordu ve %74’ü aşağıdaki gibi yüksek riskli güvenlik açıklarına sahipti: Log4Shel Ve XZ Yardımcı Programlar onların içinde. Black Duck’ın değerlendirdiği kod tabanlarının %14’ünün şaşırtıcı bir kısmı, 10 veya daha eski olan yamalanmamış açık kaynak güvenlik açıklarına sahipti.
Tenable Bulut Güvenlik Araştırması Direktörü Ari Eitan yaptığı açıklamada, “Açık kaynak projeler yaygın çözümlere entegre oldukça, bunların güvenli olmasını ve satıcıları ve müşterilerini artan saldırı yüzeyine maruz bırakmamasını sağlamak çok önemli” dedi. “Bu güvenlik açığı keşfi, bu tür riskleri azaltmak için güvenlik ve mühendislik ekipleri arasındaki işbirliği ihtiyacının altını çiziyor.”