Microsoft, Windows’un en son önizleme sürümünde, yerel yönetici ayrıcalıklarını kilitlemeyi amaçlayan ve siber saldırganların ayrıcalık yükseltme sorunlarından yararlanmasını çok daha zorlaştırmayı amaçlayan önemli bir güvenlik yükseltmesi sundu.
Yönetici Koruması özelliği, ayrıcalıkları serbest değişken bir yetenekten, kapsamı çok daha sınırlı olan “tam zamanında” bir olaya yükseltme yeteneğini değiştirir. Gelecek özellik, Windows’un yönetici izinlerini işleme biçimini değiştirerek, Kullanıcı Hesabı Denetimi (UAC) istemi tarafından yönetilen bölünmüş belirteç modelinden, sistem tarafından yönetilen yalıtılmış, gölge bir ortamın kullanılmasına geçiş yapıyor. Bu gölge yönetici hesabı, belirlenen görev tamamlanır tamamlanmaz kaybolur ve bu da bir siber saldırganın yöneticinin yükseltilmiş ayrıcalıklarını kötü niyetli eylemler için kötüye kullanmasını çok daha zorlaştırır.
Özelliğin teknik bir analizini yayınlayan Patch My PC’nin teknik içerik yaratıcısı Rudy Ooms, bu özelliğin, yönetici tarafından etkinleştirilen hesaplar için ayrıcalıkların yükseltilmesinin kapsamını sınırlayacağını söylüyor.
Ooms, “Eski eski konsept, bölünmüş bir tokena sahip olmanız ve bunun o kadar da güvenli olmamasıdır” diyor. “Yeni Yönetici Koruması ile işler değişiyor ve bölünmüş tokenların doğrudan kullanımını ortadan kaldırarak ve bunu gizli sistemle yönetilen bir hesapla değiştirerek bu yaklaşımı tamamen yeniden tasarlıyor.”
Bu özellik siber saldırganların işini çok daha zorlaştıracak arazide yaşama tekniklerini kullanmak ayrıcalıklarını yükseltmek ve güvenliği ihlal edilmiş sistemlerde yönetici erişimini seçmek. Güvenlik ihlali sonrasında çoğu saldırgan ortak uygulamaları kullanır. PowerShell ve sistem hizmetleri gibi – yatay hareket etmek için yönetici ayrıcalıklarıyla eşleştirildi.
Yönetici Koruması özelliği, yazılım firmalarının yazılımlarındaki zayıf güven modellerini ortadan kaldırmaya yönelik çabalarındaki en son taktiktir ve o dönemden bu yana çarpıcı bir gelişmedir. Hash saldırılarını geçin Saldırganların yöneticinin kimlik bilgilerini bilmeden yüksek ayrıcalıklar elde edebileceği yer. Bu özellik sayesinde saldırganlar ayrıcalıkları yükseltmeye çalışmak için yöneticinin kimlik bilgilerini kullanmaya devam edebilir ancak bunu yapma penceresi çok daha küçüktür.
Sertifika yönetimi firması Sectigo’nun kıdemli uzmanlarından Jason Soroko, “Saldırganların tüm eski numaralarını yeniden düşünmeleri gerekiyor” diyor. “Bu, bir saldırganın yönetici olarak dolaşabilmesini etkiliyor ve dolayısıyla ‘toprakta yaşamak’ [less of a threat]çünkü kuruluşlarda saldırganın çok işine yarayacak birçok araç yüklü.”
Windows’ta Yöneticilerin Bölünmüş Kişilikleri
Microsoft’un yükseltilmiş ayrıcalıklarla ilgilenme konusundaki mevcut yaklaşımı, tüm yönetici hesaplarına “bölünmüş bir belirteç” vermektir: kullanıcı hesabı varsayılan olarak standart bir kullanıcı olarak ele alınacaktır ve aynı belirteçle “TokenElevationTypeDefault” – ayrıcalıkların sınırlanması. Bir kullanıcı, yönetici ayrıcalıkları gerektiren bir eylem girişiminde bulunduğunda, belirtecini “TokenElevationTypeFull” düzeyine yükseltmek için Kullanıcı Hesabı Denetimi (UAC) özelliğini kullanmalıdır.
Ooms, bölünmüş token konseptinin iyi bir yaklaşım olduğunu ancak bazı sorunları olduğunu söylüyor.
“Buradaki sorun, bu yaklaşımın yönetici haklarını göreceli olarak gizli tutması, ancak erişilemez hale getirmemesidir” diyor. “Yükseltilmiş yönetici belirteci etkinleştirildiğinde, arka planda çalışan herhangi bir kötü amaçlı yazılım potansiyel olarak onu ele geçirebilir ve kötü niyetli eylemler gerçekleştirebilir. Esasen, bölünmüş belirteçler ‘her zaman açık’ bir yönetici olarak çalıştırmaktan daha iyi olsa da, bu tür saldırılara karşı hala savunmasızdırlar “
Ooms’un teknik analizine göre, Yönetici Koruması etkinleştirilirse ayrıcalıklarını yükselten kullanıcılar, yönetici belirtecini koruyan, yalıtılmış, yönetilen bir sistem yöneticisi hesabına geçiş yapacaktır.
“Saldırı yüzeyini azalttığı için güvenlik duruşunu çok artıracağını düşünüyorum” diyor.
Amaca Yönelik Hesaplar, Daha İyi İzleme
Microsoft bu özellik hakkında yorum yapmayı reddetti ancak bir sözcü, şirketin Kasım ayında düzenlenecek Microsoft Ignite teknoloji konferansında daha fazla bilgi paylaşmayı planladığını söyledi.
İçinde Windows Önizlemesi için sürüm notlarıMicrosoft, şunları belirtti: “Yönetici koruması, Windows 11’de yakında çıkacak bir platform güvenlik özelliğidir; bu özellik, yönetici kullanıcıların serbest değişken yönetici haklarını korumayı ve onlara tam zamanında yönetici ayrıcalıklarıyla tüm yönetici işlevlerini gerçekleştirmeye devam etmelerini sağlamayı amaçlamaktadır.” dedi. “Bu özellik varsayılan olarak kapalıdır ve grup ilkesi aracılığıyla etkinleştirilmesi gerekiyor.”
Sectigo’dan Soroko, bu özelliğin sistem güvenliğini önemli ölçüde artıracağını ancak belirli görevler için gölge yönetici hesabının oluşturulması ve yok edilmesinin aynı zamanda hesap etkinliğini izleyen şirketler için de bir nimet olduğunu söylüyor.
“Ayrıcalıklı hesapları izliyorsanız, bu kısa ömürlü ayrıcalıklı hesapları izleme ve ortalıkta dolaşıp yapmamaları gereken bir şey yapmamalarını sağlama yeteneğiniz var demektir. [is much better],” diyor. “Bu hesabın ne için oluşturulduğunu bağlamsallaştırabiliyorsunuz, dolayısıyla artık savunan insanlar için yeni fırsatlar var.”