Tüm modern Windows Workstation ve Server sürümlerini etkileyen kritik bir sıfır gün güvenlik açığı keşfedildi.
Bu kusur, saldırganların minimum kullanıcı etkileşimiyle NTLM kimlik bilgilerini çalmasına olanak tanıyor ve bu da önemli bir güvenlik riski oluşturuyor. Windows 7 ve Server 2008 R2’den en son Windows 11 (v24H2) ve Server 2022’ye kadar sistemleri etkiler.
Güvenlik açığı, kullanıcı yalnızca Windows Gezgini’nde kötü amaçlı bir dosyayı görüntülediğinde saldırganların kullanıcının NTLM kimlik bilgilerini ele geçirmesine olanak tanıyor.
Bu, paylaşılan bir klasörü açarak, dosyayı içeren bir USB sürücüsü takarak veya hatta böyle bir dosyanın saldırganın web sitesinden otomatik olarak indirildiği İndirilenler klasörüne göz atarak bile meydana gelebilir.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Bu kusurdan yararlanılması, kullanıcının dosyayı açmasını veya yürütmesini gerektirmediğinden, dosya son derece tehlikeli hale gelir.
karma geçiş saldırısı
Windows ortamlarında kimlik doğrulama için kullanılan NTLM protokolü, “karma geçişi” saldırılarına karşı hassastır. Saldırganlar NTLM karmalarını elde ettikten sonra, düz metin şifrelerine ihtiyaç duymadan kullanıcıların kimliğine bürünebilirler. Bu kusur, NTLM’nin doğasındaki güvenlik açıklarına bağlı devam eden riskleri vurgulamaktadır.
Sorun, Microsoft resmi bir düzeltme sağlayana kadar 0patch platformu aracılığıyla ücretsiz mikro yamalar yayınlayan güvenlik araştırmacıları tarafından Microsoft’a bildirildi. Bu mikro yamalar, aşağıdakiler dahil olmak üzere hem eski hem de şu anda desteklenen Windows sürümleri için mevcuttur:
- Windows 7 (Genişletilmiş Güvenlik Güncelleştirmeleri olsun veya olmasın) ve Server 2008 R2 gibi eski sistemler.
- Windows 11 (v24H2), Windows 10 (çeşitli sürümler) ve Sunucu sürümleri (2012 R2’den 2022’ye kadar) gibi tamamen güncellenen sistemler.
0patch’in mikro yamaları, aracıları kullanılarak etkilenen sistemlere zaten uygulandı ve bu çözümü benimseyen kullanıcılar için anında koruma sağlandı.
Bu güvenlik açığı, araştırmacılar tarafından yakın zamanda bildirilen üçüncü sıfır gün hatasıdır. Önceki bulgular arasında Windows Tema dosyası sorunu ve Server 2012’deki “Web İşareti” sorunu yer alıyor; her ikisi de hâlâ resmi yamaları bekliyor.
PetitPotam ve PrinterBug gibi diğer NTLM ile ilgili güvenlik açıkları Microsoft tarafından yamalanmamıştır ancak 0patch çözümleri aracılığıyla hafifletilmiştir.
Bu tür güvenlik açıklarının devam etmesi, proaktif güvenlik önlemlerinin önemini vurgulamaktadır. NTLM protokollerine güvenen kuruluşlar özellikle risk altındadır ve alternatif kimlik doğrulama mekanizmalarını dikkate almalı veya 0patch’teki gibi üçüncü taraf yamaları dağıtmalıdır.
Microsoft resmi bir düzeltme yayınlayana kadar kullanıcılardan mevcut mikro yamaları uygulamaları ve güvenilmeyen kaynaklardan gelen dosyalara karşı dikkatli olmaları isteniyor. Sağlam güvenlik uygulamalarının benimsenmesi ve şüpheli etkinliklerin izlenmesi, eski sistemleri kullanan veya NTLM kimlik doğrulamasına bağımlı olan kuruluşlar için çok önemlidir.
Bu keşif, gelişen tehdit ortamını ve sıfır gün güvenlik açıklarını etkili bir şekilde azaltmak için zamanında güncellemelere duyulan kritik ihtiyacı net bir şekilde hatırlatıyor.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses