Kimlik doğrulama zorlaması, Windows ortamlarında güçlü bir saldırı vektörü olmaya devam eder ve düşük privile alan hesaplarına sahip saldırganların hedeflenen sistemleri, genellikle yüksek değerli sunucuları veya alan denetleyicilerini, saldırgan kontrollü ana bilgisayarlara kimlik doğrulamasını zorlamasını sağlar.
Bu teknik, zorlu kimlik doğrulama oturumunun ele geçirildiği ve diğer hizmetlere aktarıldığı, potansiyel olarak idari erişim sağladığı veya ağ genelinde yanal hareket sağladığı NTLM ve Kerberos röle saldırılarına yakından bağlıdır.
İşlem genellikle Windows sistemlerinde bulunan uzaktan prosedür çağrısı (RPC) arayüzlerinden yararlanmayı içerir.
.png
)
Saldırganlar bu arayüzlere bağlanır ve hedefi giden bir kimlik doğrulama girişimi başlatmaya yönlendiren belirli işlevleri çağırır.
Kimlik bilgileri – genellikle makine hesabınınkiler (örn., DOMAIN\COMPUTER$) – sonra yakalanır veya aktarılır.
Bu özellikle değerlidir, çünkü bilgisayar hesapları S4U2 kendisi ve kaynak tabanlı kısıtlı delegasyon (RBCD) gibi kimliğe bürünme saldırıları için istismar edilebilir ve sonuçta alan artışına yol açar.
Her biri farklı Windows RPC protokollerinden yararlanan birkaç baskı tekniği ortaya çıkmıştır.
Aşağıdaki tablo, birincil yöntemleri, uygulanabilir protokollerini ve 2025 ortamındaki yeteneklerini özetlemektedir:
| Yöntem | Protokol | SMB yetenekli | HTTP yetenekli | DCERPC yetenekli | Müşterilerde mevcut | Sunucularda mevcuttur |
|---|---|---|---|---|---|---|
| Yazıcıbug | MS-RPRN | ⭕* | ⭕* | ✅* | ✅ | ✅ |
| Petitpot | MS-EFSRPC | ✅ | ✅ | ❌ | ⭕ ** | ⭕ ** |
| Dfscoerce | MS-DFSNM | ✅ | ❌ | ❌ | ❌ | ✅ |
| Co -Roe | MS-WSP | ✅ | ❌ | ❌ | ✅ | ⭕ *** |
SMB/HTTP Windows 11 22H2/Server 2025’ten önce mevcuttur; DCERPC sadece sonra
Talep Üzerine Hizmet Çalışıyor
Hizmet kurulabilir
Petitpotam (MS-EFSRPC):
Bu saldırı şifreleme dosya sistemi uzaktan protokolünü kötüye kullanır.
Gibi işlevleri çağırarak EfsRpcOpenFileRawsaldırganlar hedefi belirli bir KOBİ veya HTTP uç noktasına bağlanmaya zorlar, sızıntı yapan kimlik bilgileri.
Morser gibi araçlar bu tür RPC arayüzlerinin keşfini ve sömürüsünü otomatikleştirir.
Printerbug (MS-RPRN):
Baskı sistemi uzak protokolünü kullanır ve baskı bildirim işlevleri aracılığıyla kimlik doğrulamasını zorlayarak kullanır.
Daha yeni Windows sürümleri bunu DCERPC ile sınırlarken, eski sistemler hala SMB/HTTP zorlamasına izin vererek çok yönlü bir yöntem haline getirir.
DFSCOERCE (MS-DFSNM):
SMB tabanlı kimlik doğrulama girişimlerini tetiklemek için sunucularda bulunan dağıtılmış dosya sistemi ad alanı yönetimi protokolünü hedefler.
Bu özellikle varsayılan NTLM yapılandırmalarına sahip ortamlarda alakalıdır.
WSPCOerce (MS-WSP):
SMB kimlik doğrulamasını tetiklemek için öncelikle iş istasyonlarında Windows arama protokolünü kötüye kullanır.
Son araştırmalar, platformlar arası sömürü için Python uygulamaları üretmiştir.
Örnek Zorlama Kodu (MS-FSRVP):
python# Proof-of-concept for coercing authentication via MS-FSRVP
./coerce_poc.py -d "LAB.local" -u "user1" -p "Podalirius123!" 192.168.2.51 192.168.2.1
Bu komut, 192.168.2.1’deki Windows sunucusunu, makine hesabı kimlik bilgilerini ortaya çıkararak 192.168.2.51 numaralı telefondan saldırganın SMB payının kimlik doğrulamasını zorlar.
Hafifletmeler ve gelecekteki görünüm
Microsoft, bu tehditlere, daha yeni Windows sürümlerinde (Sunucu 2025, Windows 11 24H2) varsayılan olarak SMB ve LDAP imzalama, kanal bağlama ve kimlik doğrulama için genişletilmiş koruma (EPA) gibi hafifletmeler sağlayarak yanıt verdi.
Bu önlemler, oturumların ve mesajların kriptografik doğrulanmasını gerektirerek röle saldırılarını önemli ölçüde zorlaştırır.
Bununla birlikte, bu korumalar yalnızca taze kurulumlarda varsayılan olarak etkinleştirilir ve birçok kuruluş hala daha az kısıtlayıcı varsayılanlara sahip daha yaşlı veya yükseltilmiş sistemler çalıştırır.
Anahtar Azaltma Stratejileri:
- NTLM kimlik doğrulamasını devre dışı bırakın: Microsoft, NTLM’yi kullanımdan kaldırıyor ve mümkünse birçok baskı saldırısı yolunu ortadan kaldırıyor.
- SMB/LDAP imzalamayı ve kanal bağlamasını etkinleştirin: Yetkisiz röleleri önlemek için tüm sunucularda imzalama ve kanal bağlama uygulayın.
- RPC arayüzlerini izleyin ve kısıtlayın: Savunmasız RPC arayüzlerine erişimi sınırlayın ve anormal kimlik doğrulama girişimleri için izleyin.
Saldırganlar ve savunucular silah yarışlarına devam ettikçe, kimlik doğrulama zorlamasının teknik ayrıntılarını anlamak, pencere ortamlarını güvence altına almak için kritik öneme sahiptir.
Yeni hafifletmeler çıtayı yükseltirken, eski sistemler ve eksik yapılandırmalar, zorlama tekniklerinin öngörülebilir gelecek için alakalı kalmasını sağlar.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun