Microsoft, Exchange, Active Directory Sertifika Hizmetleri (AD CS) ve LDAP hizmetlerini hedef alan NTLM relay saldırılarına karşı varsayılan güvenlik koruma adımlarını açıkladı. Bu yeni adımlar, saldırganların NTLM kimlik doğrulama protokolünü kullanarak saldırı düzenlemelerini zorlaştırmayı amaçlıyor.
NTLM Relay Saldırısı Nedir?
NTLM relay saldırıları, saldırganların, bir kurbanın kimlik bilgilerini yetkisiz bir uç noktaya yönlendirerek başka bir hedefe kimlik doğrulama yapmasını sağladığı bir saldırı türüdür. Bu saldırılar genellikle NTLM protokolündeki açıkları kullanarak kurbanın hesabını ele geçirir ve saldırganların kurban adına işlem yapmasına olanak tanır.
Exchange sunucularında, bu saldırılar Office belgeleri veya Outlook üzerinden gönderilen mesajlar aracılığıyla gerçekleştirilebilir ve güvenlik açıklarından (örneğin, CVE-2024-21413, CVE-2023-23397 ve CVE-2023-36563) yararlanılarak kurban hesapları ele geçirilebilir.
Microsoft’un Yeni Güvenlik Önlemleri
Microsoft, Exchange ve diğer hizmetler için bu tür saldırı vektörlerine karşı koruma sağlamak adına yeni adımlar açıkladı:
- Geliştirilmiş Kimlik Doğrulama Koruması (EPA):
- Microsoft, Exchange Server 2019’da Extended Protection for Authentication (EPA) özelliğini varsayılan olarak etkinleştirdi.
- Windows Server 2025, EPA varsayılan olarak etkinleştirilmiş bir şekilde piyasaya sürüldü.
- Microsoft, Exchange Server 2019’da Extended Protection for Authentication (EPA) özelliğini varsayılan olarak etkinleştirdi.
- LDAP Kanal Bağlama Varsayılanları:
- Lightweight Directory Access Protocol (LDAP) üzerinde kanal bağlama mekanizması varsayılan olarak etkinleştirildi.
- Lightweight Directory Access Protocol (LDAP) üzerinde kanal bağlama mekanizması varsayılan olarak etkinleştirildi.
- Azure AD Sertifika Hizmetleri (AD CS) Koruması:
- EPA, AD CS üzerinde de varsayılan olarak etkinleştirilerek NTLM relay saldırı riskleri azaltıldı.
- EPA, AD CS üzerinde de varsayılan olarak etkinleştirilerek NTLM relay saldırı riskleri azaltıldı.
- NTLM Versiyonları ile İlgili Değişiklikler:
- Windows Server 2025 ve Windows 11 24H2 sürümlerinden itibaren NTLMv1 tamamen kaldırıldı, NTLMv2 ise kullanım dışı bırakıldı.
Daha Fazla Güvenlik İçin Rehberlik
- Exchange Server 2016: EPA özelliği, bir script yardımıyla manuel olarak etkinleştirilebiliyor.
- Windows Server 2022 ve 2019: LDAP ve AD CS üzerinde kanal bağlama ve EPA desteği manuel olarak ayarlanabiliyor.
- Microsoft, IT yöneticilerine LDAP üzerindeki cihazlarda kanal bağlamayı desteklemeyen makineleri tespit etmeleri için denetim özellikleri sunuyor.
Gelecekteki Adımlar
Microsoft, NTLM protokolünü varsayılan olarak devre dışı bırakmaya yönelik çalışmalara devam edeceğini açıkladı. Şirketin “secure by default” (varsayılan olarak güvenli) yaklaşımı, daha fazla hizmete EPA özelliği ekleyerek NTLM relay saldırılarını tamamen ortadan kaldırmayı hedefliyor.
Ek Güvenlik Açığı: NTLM Kimlik Bilgileri Sızdırma
Geçtiğimiz hafta, tüm Windows sürümlerini etkileyen yeni bir güvenlik açığı keşfedildi. Bu açık, bir kullanıcının yalnızca kötü niyetli bir dosyayı Windows Explorer’da görüntülemesiyle NTLM kimlik bilgilerinin sızdırılmasına yol açabiliyor. Bu açığın henüz Microsoft tarafından bir yaması bulunmamakta.
Microsoft’un bu adımları, NTLM relay saldırılarına karşı daha güçlü bir savunma hattı oluşturmayı hedefliyor ve kullanıcıların güvenliğini artırmaya yönelik stratejik bir ilerleme olarak öne çıkıyor.
