Windows Domain ve Microsoft Live Hesap Bilgileri Kolayca Sızıyor

Microsoft SMB (Server Message Block) protokolü üzerinden Windows Single Sign-on (SSO) mekanizmasını istismar eden bir zafiyette özellikle Windows 8 ve 10’da Internet Explorer veya Edge tarayıcısı ile ziyaret edilen masum bir web sayfası veya Outlook üzerinden açılan bir mesaj yüzünden parola özet bilgisi (NTLMv2) dahil Windows giriÅŸ ile Windows domain ve Microsoft Live hesap bilgileri anında sızabiliyor.

 

Orijinali 14 Mart 1997’de Aaron Spangler tarafından ortaya çıkarılmış “WinNT/Win95 Automatic Authentication (IE Bug #4)” adlı bir zafiyete dayanan ve 2015’teki Black Hat konferansında da “The French Kiss attack” olarak tekrar farklı bir ÅŸekilde uygulanan ve bu sefer de Windows’a artık Microsoft Live hesap bilgileri ile giriÅŸ yapılabilmesi sayesinde tehlikesi daha ileri boyutlara ulaÅŸan bu zafiyet doÄŸrudan basit bir ÅŸekilde uygulamaya konularak internetteki harici SMB sunucuları yoluyla kolayca uygulanabilmiÅŸ ve kanıtlanabilmiÅŸ oldu. Zafiyetin istismar edilmesi için man-in-the-middle zorunluluÄŸu bulunmuyor. Ayrıca istismarın kolayca uygulanabilmesi ve özel bir exploit gerektirmemesi bu açığı özellikle Windows domain yapısının olduÄŸu kurumsal altyapılar için çok daha tehlikeli hale getiriyor.

SMB protokülünde Windows SSO’unun uygulanması sırasında doÄŸan bu zafiyette özellikle Windows 8 ve Windows 10 kullanıcıları:

  • eÄŸer bilgisayarlarında Microsoft Live hesap bilgileri ile giriÅŸ olanağını aktif hale getirmiÅŸlerse doÄŸrudan bu kullanıcı giriÅŸ bilgilerini ve parola özetlerini,
  • bilgisayardaki lokal Windows hesap bilgilerini,
  • ve en kötüsü de kurumsal ortamlardaki cihazlardan kurumun Windows Domain ile kullanıcı bilgileri ve NTLMv2 parola özetlerini

doÄŸrudan karşı tarafa otomatik olarak göndermiÅŸ oluyor. Bunların yanında IPSec VPN bilgileri de dışarıya sızabiliyor. Microsoft Live hesap bilgisinin ele geçirilmesi durumunda varsa Microsoft’ta kullanılan diÄŸer OneDrive, Outlook, Office 365, Windows Mobile, Bing, Xbox Live, MSN ve Skype hizmetleri de otomatik olarak tehlikeye düşmüş oluyor.

SBM-Windows-Credential-Leakage
Wireshark ile SMB protokol trafiğinin sızıntısının incelenmesi

 

Saldırının Gerçekleşme Şekli

Aslında geçmişi 15-20 yıla uzanan bu zafiyeti istismar etmek için:

  1. Saldırgan bir web sayfasına veya bir e-posta mesajına hedef olarak “file://” veya “\\” ile baÅŸlayıp kendi SMB adresini gösteren bir resmi (<img src=”file://…”) veya linki (<a href=”\\…”>) yerleÅŸtiriyor. Bu yerleÅŸtirilen baÄŸlantı da saldırganın uzaktaki SMB sunucusu olabiliyor.
  2. Saldırgan SMB sharing içeren bu hazırladığı sayfayı ziyaret edilmesi için masum bir web adresinde yayınlıyor veya içeriğini bir e-posta olarak hedefli kullanıcılara yolluyor.
  3. Ardından masum kullanıcılar bu sayfayı Internet Explorer veya Edge tarayıcısında ziyaret ettiÄŸi veya bir mesaj olarak yollanmışsa da Outlook üzerinde açtığı andan itibaren Windows Logon SSO (Single Sign-on) sayesinde kullanıcının mevcut giriÅŸ bilgileri otomatik olarak internetteki bir SMB share ortamına gönderilmiÅŸ oluyor. Çünkü adres bir SMB sharing’e baÄŸlanmaya çalıştığı için, Internet Explorer, Edge veya Outlook da bu adresin lokal mi yoksa internette public bir adres mi olduÄŸuna bakmadan ve kullanıcının karşısına bir login form göstermeden mevcut bilgileri SSO (Single Sign-on) sayesinde otomatik olarak karşı tarafa yollanmış oluyor.

Böylece Windows domain ve Microsoft Live hesap bilgileri karşı tarafa sızmış oluyor. Dışarı sızan bu bilgilerden kullanıcı adı, domain adı ve bilgisayar adı açık yani ÅŸifresiz, parola bilgisi ise NTLMv2 hash ÅŸeklinde olmaktadır. Hesap bilgileri dışarıya sızdıktan sonra NTLMv2 hash’a karşı parola kırma saldırıları gerçekleÅŸtiriliyor. Ä°ÅŸte tam bu noktada da eÄŸer parola 8 karakter veya altında ise ve de güçlü karakterlerle oluÅŸturulmamışsa kırılması an meselesi olabiliyor. DiÄŸer türlü ise hash’ın kırılması parolanın durumuna göre uzayabiliyor ama hiçbir ÅŸekilde kırılamaz diye bir durum pek söz konusu olamıyor.

 

Hesap Bilgilerinizin Sızıp Sızmadığını Test Edin

Windows domain ve Microsoft Live hesap bilgileri sızıntısını Internet Explorer ve Edge browser kullanarak test edebileceğiniz siteler şunlardır:

Bu sitelerde yapacağınız testler sonucu hesap bilgileriniz internete çıkacağı için sızan/çıkan hesaplara ait parolaların hemen değiştirilmesi faydanıza olacaktır.

windows-credential-leakage-internet-explorer
http://msleak.perfect-privacy.com ile yapılan bir test

 

Saldırıya Engel Olmanın Yolları

Microsoft bu “bilgi toplama” tekniÄŸini (tam olarak bir zafiyet gibi adlandırmıyor!) bildiÄŸini ve bunun için yamadan daha ziyade alınabilecek önlemler olduÄŸunu söylüyor. Windows domain ve Microsoft Live hesap bilgileri sızıntısına engel olmanın en basit ve hızlı yolu ise kurumsal ortamlarda internete bakan firewall üzerinden dışarıya giden SMB paketlerinin kullandığı portları kapatmaktan geçiyor. Alınabilecek önlemleri kurumsal ve bireysel olarak ayırmak daha faydalı olacaktır.

→ Kurumsal ortamlar için:

  • Ä°nternet tarafına bakan firewall üzerinde internet IP’lerine (public IP adresleri) doÄŸru TCP 137, 138, 139 ve 445 nolu portları engellemek.
  • Ä°nternet ortamındaki network paylaşımlarına eriÅŸirken Internet Explorer, Edge ve Outlook kullandırmamak.
  • Kurumsal client cihazlarda Windows firewall’unda veya endpoint antivirüs programlarında internet IP’lerine (public IP adresleri) doÄŸru TCP 137, 138, 139 ve 445 nolu portları engellemek (engress filtering).
  • Endpoint Windows cihazlarında Microsoft hesabını kullanmamak.
  • Group Policy kullanarak “Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers” kaydı için “Deny all” deÄŸerini belirlemek. Tabii bunu uygulamanın canlı ortamda bazı fonksiyonların iptaline neden olabileceÄŸini de hesaba katmak gerekir. Çünkü cihazdan NTLM çıkışı tamamen engellenmiÅŸ oluyor. Bu yüzden bazı lokal IP adreslerini istisna (exception) olarak belirlemek ve eklemek gerekiyor. Bunun için de Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication” kaydına gidip istisna olarak eklenmesi gereken yerel/lokal IP adresleri cihazlara tanıtılabilir.

→ Son kullanıcılar (bireysel ev kullanıcıları) için:

  • Bilgisayardaki Windows firewall’unda veya endpoint antivirüs programlarında internet IP’lerine (public IP adresleri) doÄŸru TCP 137, 138, 139 ve 445 nolu portları engellemek (egress filtering).
  • Windows bilgisayara giriÅŸ yapmak için Microsoft hesabını kullanmamak.
  • Ä°nternet ortamındaki network paylaşımlarına eriÅŸirken Internet Explorer, Edge ve Outlook kullanmamak.
  • Windows Registry Editor’ünde (kayıt defteri) “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0” uzantısına ÅŸu kayıtları girmek: “RestrictReceivingNTLMTraffic”=dword:00000002 ve “RestrictSendingNTLMTraffic”=dword:00000002.

 

Windows domain ve Microsoft Live hesap bilgileri sızıntısının ayağa bu kadar düşecek şekilde yapılabiliyor olması güvenlik yaklaşımının özellikle kurumsal Windows mimarilerde bir daha gözden geçirilmesini ve üreticiye bu konuda asla güvenilmemesi gerektiğini bir kez daha zorunlu kılıyor.

Referanslar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir