Microsoft Windows NTLM Otomatik Kimlik Doğrulama Açığı

irfanGüvenlik0 Yorum14 Nisan 2015

Microsoft NTLM güvenlik açığıHttp istekleri kullanılarak Windows işletim sistemi üzerinde çalışan yazılımlar file:// isteklerini SMB protokolü ile zararlı sunucu yada  saldırgana iletebilirler.Bilgisayar açılışında yada her hangi bir form kullanılarak bilgileri post methodu kullanılarak farklı sunuculara iletebilen bu açık bir çok anti virus programı tarafından tespit edilemez.

Birçok yazılım ürünü, yazılım güncelleme kontrolü gibi çeşitli özellikler için HTTP isteklerini kullanır.Kötü niyetli bir kullanıcı (örneğin : MITM proxy server ) bu istekleri SMB ile kendi sunucusuna yada bilgisayarına yönlendirerek kurbanın açık portları üzerinden bilgilere erişim sağlar.

Dosya yada url yönlendirme işlemleri ile kendini kurban bilgisayarında gizlemeyi son derece iyi bir şekilde başaran saldırgan kurbanın neredeyse bütün bilgilerine ulaşmakla kalmayıp bilgisayarıda yönetebilecek yetkilere sahip olur.Bu yöntem sayesinde cookie (Çerez dosyalar) sayesinde brute-force yöntemi ilede elindeki şifreleri kırmayı deneyebilir.

Windows API fonksiyonları (urlmon.dll ile kullanabilir)

  • URLDownloadA
  • URLDownloadW
  • URLDownloadToCacheFileA
  • URLDownloadToCacheFileW
  • URLDownloadToFileA
  • URLDownloadToFileW
  • URLOpenStream
  • URLOpenBlockingStream

Wininet kütüphanesinin bu açığa maruz kalıp kalmadığı windows mühendisleri tarafından araştırılırken bir yanda da güvenlik açığı hakkında gerekli önlemler alınmaya çalışılmaktadır.

Güvenlik uzmanları tarafından .Net frameworkleri ile çalışmakta olan Internet Explorer tarayıcısı SMB protokolü üzerinden yönlendirme işlemine karşı savunmasız olduğu tespit edilmiştir.

Çözüm

Şuan için kesin bir çözümü bulunmayan fakat halen daha gerekli incelemeler yapılan bu güvenlik açığından korunmak için bir kaç işlem yapılması gerekmektedir.

SMB protokolüne ait olan TCP 139 ve 445 portları içerden dışarı yazılacak kural dahilinde güvenli olmayan IP adresilerine kapatılmalı.

Group Policy üzerinden NTLM kullanımı yasaklanmalı.

Referans : Using security policies to restrict NTLM traffic

Belirli aralıklar ile şifrelerimizi değiştirmeli ve gerekli tüm güncellemeler yapmalıyız.

Firma Durum Tespit Tarihi Güncelleme Tarihi
AVG Anti-virus Software Affected 24 Mar 2015 01 Apr 2015
Microsoft Corporation Affected 11 Mar 2015 01 Apr 2015
Oracle Corporation Affected 24 Mar 2015 01 Apr 2015
Adobe Unknown 24 Mar 2015 24 Mar 2015
Apple Unknown 24 Mar 2015 24 Mar 2015
Box.com Unknown 13 Apr 2015
COMODO Security Solutions, Inc. Unknown 24 Mar 2015 24 Mar 2015
Github Unknown 13 Apr 2015
GoPro Unknown 13 Apr 2015
JetBrains Unknown 13 Apr 2015

Yukarıdaki tabloda tehdidi tespit eden ve gerekli güncelelmeleri yapan güvenlik firmaları yer almaktadır.

Kaynak :

 

Etiketler: , , ,

Microsoft Windows NTLM Otomatik Kimlik Doğrulama Açığı Hakkında Yorum Yaz

Yorum yapmak için giriş yapmalısınız.

Sponsor Reklam Sponsor Reklam Sponsor Reklam Sponsor Reklam
Cyberoam Captive Portal Kaldırma

Cyberoam Captive Portal Kaldırma

Merhaba ; Googlede Cyberoam ile ilgili kelimeleri ararken en çok

irfan8 Yorum17 Aralık 2015
Cyberoam SSL VPN Kurulumu

Cyberoam SSL VPN Kurulumu

Merhaba ; Cyberoam güvenlik duvarının en çok tercih edilme nedenlerinden

irfan7 Yorum7 Mayıs 2015
Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam Transparent Authentication Suite (CTAS) :  Şeffaf kimlik doğrulama sistemi

irfan6 Yorum31 Mayıs 2015
Cyberoam DHCP Kuralı Oluşturma

Cyberoam DHCP Kuralı Oluşturma

Merhaba ; Bu makalemizde güvenlik duvarı üzerinde dhcp oluşturmayı elimden

irfan5 Yorum23 Nisan 2015
Cyberoam Log Viewer Nedir?

Cyberoam Log Viewer Nedir?

Cyberoam Firewall bir çok işlemi yönetim panelinden extra bir cihaz

irfan4 Yorum3 Ekim 2015
WannaCry Nedir , Nasıl Engellenir?

WannaCry Nedir , Nasıl Engellenir?

Cryptolocker ve benzeri fidye yazılımı özelliklerini içinde barındıran WannaCry şifreleyici

irfan0 Yorum14 Mayıs 2017
Cyberoam ile  DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam ile DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam güvenlik duvarının en önemli modüllerinden birisi olan IPS modülü

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği kişi ve kurumları ilgilendirdiği kadar yasal zorunlulukları

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği Nedir

Kurumsal Bilgi Güvenliği Nedir

Son zamanlarda sıkça karşımıza çıkan Bilgi güvenliği , kişisel verileri

irfan0 Yorum27 Mart 2017
Sophos Intercept X (Anti Fidye Yazılımı)

Sophos Intercept X (Anti Fidye Yazılımı)

Sophos tarafından yeni nesil uç nokta güvenlik çözümü olarak geliştirilen Intercept

irfan0 Yorum17 Ekim 2016
Sera Sistemleri
Merhaba, Faydalı bir bilgi paylaşımı olmuş. İşime yaradı. Teşekkürler. İyi çalışmalar
Ayna
Makaleniz için teşekkür ederim, çok faydalı bilgiler teşkler.
irfan
Merhaba , Hattınızda Load Balance varsa bu söylemiş olduğunuz sitelere girişlerde sorun yaratabilir.Eğer hatta load balance yoksa sorun…
cemal
Merhaba, Kurumumuzda server alt yapısında cyberoam firewall bulunmaktadır. Fakat bundan 2 3ay öncesine kadar biruni.tuik.gov.tr ve 2…
irfan
Merhaba ; Active directory üzerindeki kullanıcıların logon ve logoff bilgilerini firewallun çekebilmesi için control panali/administary tools/ local security policy/…

Sponsonr Reklamlar