Windows Kerberos kimlik doğrulamasında, Active Directory ortamlarındaki kimlik bilgisi aktarma saldırılarına yönelik saldırı yüzeyini önemli ölçüde genişleten kritik bir kusur.
Saldırganlar, Kerberos hizmet bileti istekleri sırasında Windows istemcilerinin DNS CNAME yanıtlarını işleme biçimini kötüye kullanarak, geleneksel korumaları atlayarak sistemleri saldırgan tarafından kontrol edilen hizmetler için bilet istemeye zorlayabilir.
Saldırı Vektörü
Güvenlik açığı temel bir davranışa odaklanıyor: Bir Windows istemcisi bir DNS CNAME kaydı aldığında takma adı takip ediyor. Bilet Verme Hizmeti (TGS) isteğini, Hizmet Asıl Adı (SPN) olarak CNAME ana bilgisayar adını kullanarak oluşturur.
DNS trafiğini engellemek üzere yola çıkan bir saldırgan, kurbanları saldırganın seçtiği hedefler için hizmet biletleri istemeye zorlamak için bundan yararlanabilir.
Bu teknik, bir saldırganın ARP zehirlenmesi, DHCPv6 zehirlenmesi (MITM6) veya benzer yöntemlerle DNS ortadaki adam yeteneklerini oluşturmasını gerektirir.
Bir kurban meşru bir etki alanı varlığına erişmeye çalıştığında, kötü niyetli DNS sunucusu, saldırganın IP adresini çözümleyen bir A kaydının yanı sıra, saldırgan tarafından kontrol edilen bir ana bilgisayar adına işaret eden bir CNAME kaydıyla yanıt verir.
Bu, kurbanın, saldırganın hedef hizmetine yönelik bir bilet kullanarak saldırganın altyapısında kimlik doğrulaması yapmasına neden olur.
Saldırı Yetenekleri ve Etkisi:
| Etki Alanı | Tanım |
|---|---|
| RCE | ADCS Web Kaydı (ESC8) aracılığıyla uzaktan kod yürütme |
| Aktarma Saldırıları | Çapraz protokol geçişleri (HTTP→SMB, HTTP→LDAP) |
| Yanal Hareket | Yetkisiz erişim ve ağ yayılımı |
| Kimliğe bürünme | Parola olmadan kullanıcı kimliğine bürünme |
Onaylanan kötüye kullanımın test edilmesi, Windows 10, Windows 11, Windows Server 2022 ve Windows Server 2025’teki varsayılan yapılandırmalarda çalışır.
Saldırı, imzalama veya Kanal Bağlama Belirteçleri (CBT) uygulanmadığında SMB, HTTP ve LDAP dahil korumasız hizmetlere karşı başarılı olur. Güvenlik açığı Ekim 2025’te sorumlu bir şekilde Microsoft’a bildirildi.
Buna yanıt olarak Microsoft, HTTP.sys için CBT desteğini uyguladı. Ocak 2026 güvenlik güncellemelerinde desteklenen Windows Server sürümleri genelinde CVE-2026-20929 olarak izlenen yamalar yayınladı.
Ancak bu azaltma yalnızca HTTP geçiş senaryolarına yöneliktir. Temel DNS CNAME zorlama ilkesi değişmeden kalır ve diğer protokolleri savunmasız bırakır.
Kavram Kanıtı
Araştırmacılar, MITM6 aracının CNAME zehirlenmesi yeteneklerine sahip değiştirilmiş bir sürümünü GitHub’da yayınladı. Araç, belirli alanlara veya tüm DNS sorgularına karşı hedeflenen CNAME zehirlenmesini destekler.
ARP zehirlenmesi entegrasyonu için yalnızca DNS modunu içerir ve kritik altyapı bağlantısı için geçiş sağlar. Sömürü Python 3.x ve bir Linux işletim sistemi gerektirir.
Cymulate Research Labs, kuruluşlara katmanlı savunma uygulamalarını tavsiye ediyor:
| Güvenlik Katmanı | Önerilen Kontrol | Amaç |
|---|---|---|
| KOBİ Güvenliği | Etki alanı denetleyicilerinin ötesindeki tüm sunucularda SMB imzalamayı zorunlu kılın | SMB geçişini ve ortadaki adam saldırılarını önler |
| Dizin Hizmetleri | Desteklendiğinde LDAP imzalamayı zorunlu kılın ve LDAPS Kanal Bağlama Belirteçlerini (CBT) zorunlu kılın | LDAP geçişine ve kimlik bilgilerinin ele geçirilmesine karşı koruma sağlar |
| Web Hizmetleri | Tüm dahili HTTP hizmetleri için HTTPS’yi CBT ile zorunlu kılın | HTTP üzerinden NTLM geçiş saldırılarını azaltır |
| DNS Altyapısı | DNS sunucularını güçlendirin ve HTTPS (DoH) üzerinden DNS’yi düşünün | DNS sahtekarlığı ve trafik manipülasyonu risklerini azaltır |
| Kerberos İzleme | Olağandışı SPN’leri hedef alan anormal TGS isteklerini izleyin | Potansiyel Kerberos kötüye kullanımını veya yanal hareketi algılar |
| Tehdit Tespiti | Protokoller arası kimlik doğrulama modelleriyle ilgili uyarı | NTLM/Kerberos geçişini ve protokolün kötüye kullanılması girişimlerini tanımlar |
Araştırma, kritik bir güvenlik gerçeğinin altını çiziyor: Kerberos’un kendisi, aktarma saldırılarını doğası gereği engellemez. Korumanın uygulanması hizmet düzeyindedir.
NTLM’yi devre dışı bırakmak tek başına yeterli değildir; kuruluşların geçiş riskini etkili bir şekilde ortadan kaldırmak için Kerberos’un etkin olduğu her hizmette geçiş karşıtı korumaları açıkça uygulaması gerekir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
