Microsoft, Haziran 2022 güncellemelerinin bir parçası olarak, saldırganların NTLM röle saldırılarındaki Windows sunucularını hedeflemesini sağlayan daha önce açıklanmış bir 'ShadowCerce' güvenlik açığını düzelttiğini doğruladı.
Bu NTLM röle saldırısı yöntemi, tehdit aktörleri tarafından, saldırganın kontrolü altındaki sunuculara karşı kimliği doğrulamaya zorlamak için tehdit aktörleri tarafından kullanılabilir ve bu da Windows alanının devralmasına yol açar.
BleepingComputer bir Microsoft sözcüsü tarafından söylenirken, bu konuda kamuya açık bir duyuru yapılmazken, "MS-FSRVP zorlama istismarı poc poc 'Shadowcoerce' aynı bileşeni etkileyen CVE-2022-30154 ile azaltıldı."
BleepingComputer, Acros Güvenlik CEO'su Mitja Kolsek'in Shadowcoerce'nin bir Micropatch yayınlamak için 0patch ekibi ile araştırırken sessizce yamalandığını keşfettikten sonra Redmond'a e -posta gönderdi.
Microsoft'un bu güvenlik açığını düzeltmesi iyi olsa da, henüz herhangi bir ayrıntı vermediler ve henüz bir CVE kimliği atamamışlardır.
Bu, güvenlik firmalarını ve araştırmacılarını [1, 2, 3, 4] Redmond'u daha fazla şeffaflık istemeye ve güvenlik bültenlerinde sabit olanlar hakkında daha fazla bilgi içermeye teşvik etti.
MS bu konuda daha açık olsaydı güzel olurdu. Birçok yönden MS'in, bir pazarlama dönüşü atamadıkları sürece, MS'nin güvenlik konusunda "kötü eski günlerden" daha gizli olduğunu inanılmaz buluyorum. Malzeme güvenlik değişiklikleri güvenlik bültenlerinde açıkça belgelenmelidir.
Shadowcoerce, Petitpotam saldırısını sergileyen bir sunumun sonunda 2021'in sonlarında güvenlik araştırmacısı Lionel Gilles tarafından keşfedildi ve detaylandırıldı.
Neyse ki, bu saldırı yöntemi yalnızca dosya sunucusu VSS aracı hizmetinin etkinleştirildiği sistemlerde MS-FSRVP (Dosya Sunucusu Uzaktan VSS protokolü) üzerindeki kimlik doğrulamasını zorlayabilir.
MS-FSRVP, uzak bilgisayarlarda dosya paylaşımı gölge kopyaları oluşturmak için kullanılan bir Uzaktan Prosedür Çağrısı (RPC) tabanlı bir protokoldür.
Ne yazık ki, Gilles'in gösterdiği gibi, bu protokol, tehdit aktörlerinin bir alan denetleyicisini kontrolleri altında kötü niyetli bir NTLM rölesine karşı doğrulamaya zorlamasını (veya zorlamasını) sağlayan NTLM rölesi saldırılarına karşı da savunmasızdır.
Kötü amaçlı sunucu daha sonra, saldırganın Windows etki alanı denetleyicisi de dahil olmak üzere herhangi bir ağ cihazını taklit etmesini sağlayan bir Kerberos bilet verme bileti (TGT) almak için bir etki alanının Active Directory Sertifika Hizmetleri'ne (AD CS) kimlik doğrulama isteğini aktarır (veya ileri).
Bir etki alanı denetleyicisini taklit ettikten sonra, Windows etki alanını devralmak için kullanılabilecek yüksek ayrıcalıklar kazanacaktır.
Bununla birlikte, bu tür saldırılar bir ağın bir tehdit aktörü tarafından zaten tehlikeye atılmasını ve ilgili hizmetlerin hedeflenen bir sunucuda çalışması ve erişilebilir olması gerekmektedir.
Uzak bir sunucuyu kötü niyetli bir NTLM rölesine karşı doğrulamaya zorlamak için, tehdit aktörleri MS-RPRN ve MS-EFSRPC (Petitpotam) protokolleri dahil olmak üzere çeşitli yöntemler kullanabilir.
Mayıs ayında Redmond ayrıca, tüm Windows sürümlerinde zorla kimlik doğrulama yoluyla ayrıcalık artışı için kullanılabilecek aktif olarak sömürülen Windows LSA sahtekarlığı sıfır gün (CVE-2022-26925 olarak izlendi ve daha sonra bir petitpotam varyantı olarak onaylandı) sabitledi.
Microsoft, Windows Dağıtılmış Dosya Sisteminin (DFS) bir RPC arayüzü üzerinden yönetilmesine izin veren bir protokol olan MS-DFSNM'yi kullanan DFSCOerce Windows NTLM röle saldırısını ele almak zorundadır.
Geçen ay, güvenlik araştırmacısı Filip Dragovic, bir Windows alanına sınırlı erişimi olan kullanıcıların bir etki alanı yöneticisi olmasına izin veren keyfi sunuculara yönelik kimlik doğrulamasını aktarmak için kullanılabilecek bir DFSCOerce kavram kanıtı komut dosyası yayınladı.
DFSCOerce hakkında daha fazla bilgi istendiğinde Microsoft, yöneticilere çok faktörlü kimlik doğrulamasını etkinleştirmelerini ve ortamlarındaki DFSCOerce saldırısını engellemek için mümkün olan en kısa sürede mevcut tüm güvenlik güncellemelerini yüklemelerini tavsiye etti.
Güvenlik araştırmacıları ve uzmanları ayrıca BleepingComputer'a bu tür saldırıları önlemenin en iyi yolunun Microsoft'un Petitpotam NTLM röle saldırısını azaltma danışmanlığını takip etmek olduğunu söyledi.
Önerilen azaltma, Active Directory Sertifika Hizmetleri sunucularındaki Web Hizmetlerinin devre dışı bırakılması, etki alanı denetleyicilerindeki NTLM'nin devre dışı bırakılması ve Windows kimlik bilgilerini korumak için kimlik doğrulama ve imzalama özellikleri (KOBİ imza gibi) için genişletilmiş korumanın sağlanmasını içerir.
Yeni DFSCOerce NTLM Röle Saldırısı Windows Etki Alanı Devralmasına izin verir
Microsoft yeni petitpotam windows ntlm röle saldırı vektörünü düzeltir
Microsoft, tüm Windows sürümlerinde yeni NTLM Rölesi Zero Day'i düzeltir
Yeni Redalert fidye yazılımı Windows, Linux VMware ESXI sunucuları hedefliyor
Microsoft Azure artık geçici depolamalı gizli VM'lere sahip
Kaynak: Bleeping Computer