Yeni NTLM Relay Zero-Day Zafiyeti Tüm Windows Sürümlerini Etkiliyor

Microsoft, kimliği doğrulanmamış saldırganların etki alanı denetleyicilerini Windows NT LAN Manager (NTLM) güvenlik protokolü aracılığıyla kimliklerini doğrulamaya zorlamak için uzaktan yararlanabileceği, etkin olarak yararlanılan bir Windows LSA zero-day zafiyeti hakkında bilgilendirme yaptı. CVE-2022-26925 olarak izlenen ve Bertelsmann Printing Group’tan Raphael John tarafından bildirilen güvenlik açığı, public olarak istismar edildi ve  PetitPotam NTLM Relay saldırısı için yeni bir vektör gibi görünüyor. Güvenlik araştırmacısı GILLES Lionel tarafından Temmuz 2021’de keşfedilen PetitPotam, Microsoft’un engellemeye çalıştığı birkaç varyasyona sahip. Ancak bu noktada,  resmi hafifletmeler ve sonraki güvenlik  güncellemeleri tüm PetitPotam  vektörlerini  tamamen  engellemiyor.

Zorunlu kimlik doğrulama yoluyla ayrıcalık yükseltme

Saldırganlar, bu yeni saldırı vektörünü kullanarak, ayrıcalıkları yükseltmek için kullanılabilecek gerçek kimlik doğrulama isteklerini engelleyebilir ve muhtemelen tam etki alanı güvenliğinin ihlal edilmesine izin verebilir. Saldırganlar bu güvenlik açığını yalnızca, ağ iletişimlerini okumak veya değiştirmek için kurban ile bir etki alanı denetleyicisi arasındaki trafiği kesebilmeleri gereken yüksek karmaşıklıktaki ortadaki adam (MITM) saldırılarında kötüye kullanabilirler.

Microsoft, “Bu güvenlik güncelleştirmesi, LSARPC’deki anonim bağlantı girişimlerini algılar ve buna izin vermez. Bu güvenlik açığı tüm sunucuları etkiler, ancak güvenlik güncelleştirmelerini uygulama açısından etki alanı denetleyicilerine öncelik verilmelidir.” dedi. Güncelleştirmelerin yüklenmesi, bazı yedekleme yazılımlarını bozacağından, Windows 7 Service Pack 1 ve Windows Server 2008 R2 Service Pack 1 çalıştıran sistemlerde de dezavantajlarla birlikte geliyor. CVE-2022-26925, Windows 7 ve Windows Server 2008’den Windows 11 ve Windows 2022’ye kadar istemci ve sunucu platformları dahil tüm Windows sürümlerini etkiliyor.

Kaynak: bleepingcomputer.com

Exit mobile version