Windows kimlik doğrulaması zorlama saldırıları, Microsoft’un koruyucu önlemler uygulama çabalarına rağmen, 2025’te kurumsal Active Directory ortamları için önemli riskler oluşturmaya devam ediyor.
Bu sofistike saldırılar, asgari ayrıcalıklara sahip tehdit aktörlerinin Windows iş istasyonlarına ve sunucularına idari erişim elde etmesine izin vererek, ilk sızma saatleri içinde tüm kurumsal ağlardan potansiyel olarak tehlikeye atar.
Temel Windows hizmetlerinden yararlanan saldırı teknikleri
RedTeam Pentesting Blog Raporuna göre, Windows bilgisayarları saldırgan kontrollü sistemlerle kimlik doğrulamaya zorlamak için kimlik doğrulama zorlaması çoklu uzaktan prosedür çağrısı (RPC) arayüzlerinden yararlanır.
.png
)
En önemli teknikler MS-RPRN (PrinterBug), MS-EFSR (Petitpotam), MS-DFSNM (DFS zorlama) ve MS-WSP (WSP baskı) içerir.
Bu yöntemler, bilgisayar hesaplarını ele geçirilebilen ve yüksek değerli hedeflere aktarılabilen bağlantıların oluşturulmasına zorlamak için meşru Windows hizmetlerinden yararlanır.
Başlangıçta yazıcı yönetimi için tasarlanan MS-RPRN arayüzü, Windows Server Core yüklemeleri hariç çoğu iş istasyonunda ve sunucularda mevcut olduğu için özellikle tehlikeli kalır.
NTLMRelayx.py gibi popüler saldırı araçlarında yapılan son değişiklikler, Microsoft’un karşı önlemlerine adapte olmuştur ve araştırmacılar, geleneksel SMB ve HTTP vektörleri engellendiğinde bile saldırı etkinliğini korumak için RPC sunucu özelliklerini uyguluyorlar.
MS-EFSR tekniği, Windows Server 2022 23H2’de isteğe bağlı hizmet aktivasyonu ile kısmen azaltılmış olsa da, yaratıcı yöntemlerle kullanılabilir.
Güvenlik araştırmacıları, yazıcı kuyrukları da dahil olmak üzere erişilebilir SMB paylaşımlarında şifreli dosyalar oluşturmaya çalışarak savunmasız hizmeti etkinleştiren NetExec EFSR_SPRAY modülü gibi otomatik araçlar geliştirdiler.
Yükseltmelerdeki Microsoft Güvenlik Gizeleri
Microsoft, kimlik doğrulama için genişletilmiş koruma (EPA), LDAP kanalı bağlama ve gelişmiş KOBİ imzalama gereksinimleri dahil olmak üzere çeşitli koruyucu mekanizmalar uyguladı.
Windows Server 2022 23H2 varsayılan olarak LDAP kanal bağlanmasını tanıtırken, Windows Server 2025 EPA’yı etkinleştirir ve şifrelenmemiş AD CS Web Kayıt API’lerini devre dışı bırakır.
Buna ek olarak, Windows 11 24H2 artık iş istasyonlarında KOBİ imza gerektirerek Microsoft’un güvenlik duruşunda önemli bir değişim işaret ediyor.
Bununla birlikte, bu korumalar öncelikle taze kurulumları etkiler, yükseltilmiş sistemleri eski konfigürasyonlara karşı savunmasız bırakır.
HTTP tabanlı baskı için webClient hizmet gereksinimi, bu hizmet, erişilebilir paylaşımlara yerleştirilen .SearchConnector-MS dosyalarını içeren tekniklerle harici olarak etkinleştirilebildiğinden, kritik bir güvenlik açığı vektörü olmaya devam etmektedir.
Baskı saldırılarının sürekli etkinliği, S4U2 Kendin Kötüye Kullanımı ve Kaynak Tabanlı Kısıtlı Delegasyon (RBCD) yoluyla güçlü taklit etme yeteneklerine sahip bilgisayar hesaplarını hedefleme yeteneklerinden kaynaklanmaktadır.
Etki alanı denetleyicisi bilgisayar hesaplarına karşı başarıyla yürütüldüğünde, bu saldırılar DCSYNC ayrıcalıkları verebilir ve tüm kullanıcı kimlik bilgilerinin çıkarılması yoluyla tam etki alanı uzlaşmasını sağlar.
Kurumsal savunucular, Microsoft NTLM kimlik doğrulamasını ortadan kaldırdıkça, Kerberos aktarma saldırılarının yanında gelişmeye devam ettikçe, zorlama teknikleri gelişmeye devam ettikçe özel zorluklarla karşı karşıyadır.
Farklı pencere ortamlarında gerekli tüm korumaları düzgün bir şekilde yapılandırmanın karmaşıklığı, birçok kuruluşun bu saldırı vektörlerine karşı savunmasız kaldığı anlamına gelir.
Güvenlik uzmanları, kapsamlı imza gereksinimleri ve kanal bağlaması tüm Windows hizmetlerinde evrensel olarak uygulanana kadar, kimlik doğrulama zorlamasının, dünya çapında BT güvenlik ekiplerinden derhal ilgi gerektiren kurumsal ağlar için kritik bir tehdit olarak kalacağını vurgulamaktadır.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği