Geçen hafta açıklanan SeriousSAM güvenlik açığı olarak isimlendirilen ve düşük izinlere sahip saldırganların Pass-the-Hash saldırısı gerçekleştirerek Windows sistem dosyalarına erişmesine ve sistem üzerinde depolanan şifre bilgilerinin çalınmasına neden olabiliceği ortaya çıktı. Microsoft, tüm Windows 10 ve Windows 11 kullanıcılarının büyük risk altında olduğunu açıkladı.
Saldırganlar, Güvenlik Hesabı Yöneticisi (SAM) ve Kayıt Defteri’nde depolanan hash’den parola elde etmek için bu güvenlik açığından yararlanabilir ve sistem ayrıcalıklarını alarak rastgele kod çalıştırabilir. CVE-2021-36934 olarak izlenen SeriousSAM güvenlik açığı, özellikle tüm yerel kullanıcıları içeren yerleşik kullanıcı grubuna ‘okuma’ izinlerine izin veren bir ayar nedeniyle, Windows 10 ve Windows 11’in varsayılan yapılandırmasında bulunmakta.
Sonuç olarak, yerel kullanıcılar hash’leri alabilir ve sam dosyaları, kayıt defteri gibi hassas objeler üzerinde okuma yetkileri ile erişebilir. Saldırganın bir sisteme ‘Kullanıcı’ erişimi olduğunda, Kayıt Defterine veya SAM’a erişim sağlamak için Mimikatz gibi bir araç kullanabilir, hashleri çalabilir ve bunları parolalara dönüştürebilir. Etki alanı kullanıcılarını bu şekilde saldırmak, saldırganlara ağ üzerinde yüksek ayrıcalıklar verecektir.
Henüz Microsoft tarafından sunulan resmi bir güncelleme bulunmadığından, ortamınızı SeriousSAM güvenlik açığından korumanın en iyi yolu, mitigate yöntemleri uygulamak.
Microsoft tarafından önerilen mitigate yöntemleri aşağıdaki gibidir.
- Yerleşik kullanıcılar grubundan tüm kullanıcıları silin – Yerel kullanıcı grubları çok önemlidir. Özellikle yerel administrator grubu. Domain ortamlarında mutlaka Tier modeli kullanılmalıdır.
- SAM dosyalarını ve Kayıt izinlerini kısıtlayın — Yalnızca yöneticiler için erişime izin verin. Bu sorunu tamamen çözmesede saldırganının işini biraz zorlaştıracaktır.
- Ağ kimlik doğrulaması için parolaların ve kimlik bilgilerinin son kullanıcı sistemlerinde saklanmasına izin vermeyin – Bu tavsiye CIS tarafından önerilmekte . Bu kuralı uygulayarak, SAM’de veya kayıt defterinde depolanan hash olmayacak ve bu güvenlik açığı büyük ölçüde önleyecektir.
Yapılması gereken gpo ayarı aşağıdaki gibidir.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Do not allow storage of passwords and credentials for network authentication
Tüm bu işlemleri yapmadan önce production sistemlerinizin bir kopyasını pilot ortama almak ve önce tüm testlerin yapılması sonrasında production ortamına uygulanması çok önemli. Bu sayede sistem kesintilerini minimuma indirmiş olursunuz.
Kaynak: thehackernews.com