NTLM Relay Zafiyeti İçin Exploit Kodu Yayınlandı
Microsoft’un Remote Registry clientında bulunan ve Windows domain’inin kontrolünü ele geçirmek için kullanılabilecek kritik güvenlik açığı için exploit kodu public olarak yayınlandı. Bu güvenlik açığı, kimlik doğrulama güvenlik seviyesini downgrade ederek saldırganların Windows sunucularına sızmasına olanak tanıyor.
CVE-2024-43532 olarak izlenen bu zafiyet, Windows Registry (WinReg) istemcisindeki fallback mekanizmasını kullanıyor. Eğer SMB protokolü mevcut değilse, istemci eski taşıma protokollerine geçiş yapıyor ve bu durum saldırganların NTLM kimlik doğrulama sürecini Active Directory Certificate Services (ADCS) üzerinden yönlendirmelerine olanak tanıyor. Böylece saldırganlar, kullanıcı sertifikaları elde edip domain üzerinde daha fazla yetki kazanabiliyor.
Bu zafiyet, Windows Server 2008’den 2022’ye kadar olan tüm sürümlerini ve Windows 10 ile Windows 11’i etkiliyor.
Zafiyetin Detayları ve İstismar Yöntemleri
CVE-2024-43532, Microsoft Remote Registry istemcisinin SMB protokolü mevcut olmadığında RPC (Remote Procedure Call) nasıl bir davranış gösterdiğiniden kaynaklanıyor. Bu durumda istemci, TCP/IP gibi eski protokollere geçiş yapıyor ve zayıf bir kimlik doğrulama seviyesi (RPC_C_AUTHN_LEVEL_CONNECT) kullanıyor. Bu, bağlantının güvenilirliğini ya da bütünlüğünü doğrulamıyor.
Bir saldırgan, istemcinin NTLM kimlik doğrulama el sıkışmasını ele geçirip, bu kimlik doğrulama verilerini başka bir servise (örneğin ADCS) yönlendirerek sunucuya erişim sağlayabilir ve yeni domain adminhesapları oluşturabilir.
Bu saldırı yöntemi, WinReg bileşenini kullanarak kimlik doğrulama bilgilerini iletir ve bu da saldırganların bir domain’i ele geçirmesine olanak tanır.
BT ekiplerinin en kısa sürede gerekli güncellemeleri yapması büyük önem taşıyor.