Microsoft, siber saldırganların kimlik bilgilerini ele geçirmek için sıklıkla kullandığı NTLM relay saldırılarına karşı Windows sistemlerini daha güvenli hale getirmek için yeni bir adım attı. Microsoft, bu saldırılara karşı koruma sağlayan yeni güvenlik önlemlerini Windows’a entegre etmeye başladı.
NTLM Relay Saldırıları Nedir?
NTLM relay saldırıları, saldırganların bir kullanıcının kimlik bilgilerini ele geçirip kötüye kullanmasını sağlayan popüler bir yöntem. Bu saldırıda, kullanıcıyı oturum açmaya yönlendirilir ve kimlik bilgileri saldırganlar tarafından başka bir noktaya iletilir. Böylece saldırgan, ele geçirilen kimlik bilgileriyle kurban adına işlem yapabilir ve bir domain’i daha fazla ele geçirme fırsatı bulur.
Microsoft’tan Güçlendirilmiş Koruma
Microsoft, NTLM relay saldırılarını zorlaştırmak için varsayılan olarak savunmasız hizmetlerin daha güvenli hale getirilmesi gerektiğini belirtti. Bu kapsamda Extended Protection for Authentication (EPA) ve diğer mekanizmaları devreye alındı. Bu mekanizmalar, istemcilerin yalnızca hedef sunucularla kimlik doğrulaması yapmasını sağlayarak saldırı riskini azaltıyor.
Yeni Güvenlik Güncellemeleri
Microsoft, Şubat 2024’te, Exchange Server için CVE-2024-21410 güvenlik açığına yanıt olarak EPA desteğini etkinleştiren bir güncelleme yayınladı. Bu güncelleme, hem yeni hem de mevcut Exchange Server 2019 kurulumlarını koruma altına aldı.
Bunun yanı sıra, Windows Server 2025 için de benzer bir güvenlik geliştirmesi duyuruldu. Bu sürümle birlikte, Azure Directory Certificate Services (AD CS) varsayılan olarak EPA ile korunuyor. Ayrıca, aynı sürümde LDAP için kanal mekanizması varsayılan olarak etkinleştirildi.
Bu geliştirmeler, özellikle şu üç yerel hizmet için NTLM relay saldırılarına karşı koruma sağlıyor:
- Exchange Server
- Active Directory Certificate Services (AD CS)
- LDAP