Genel Özet
- Bazı Endpoint satıcıları, önem derecesi 10/10 olan bu CVE’nin bir ağ güvenliği sorunu olduğunu iddia ediyor. Ancak SentinelOne bunun yanlış olduğunu ve Zerologon istismarını Endpoint üzerinde tespit edilebileceğini gösteriyor.
- SentinelOne, hedef ana bilgisayarlardaki zafiyet girişimini doğru bir şekilde tespit edebilen tek siber güvenlik şirketidir. Ayrıca SentinelOne platformu istismar sonrası olayları Storyline teknolojisi ile ilişkilendirebilir.
- Bu kritik algı yeteneği 4.2 SP4’ten itibaren mevcuttur ve SentinelOne müşterileri tarafından kullanılabilir durumdadır.
- SentinelOne’ın bu kritik sunucu güvenlik açığını otonom olarak algıladığını görmek için aşağıdaki demoyu seyredebilirsiniz.
Demoyu izlemek için linke tıklayınız.
Zerologon Güvenlik Açığı
Yaygın olarak “Zerologon” ismi ile bilinen CVE-2020-1472 zafiyeti, Microsoft Server’ın şu anda desteklenen tüm sürümlerinde (Windows 2008 R2, 2012, 2016, 2019) bulunan kritik bir güvenlik açığıdır. Bu ayrıcalık yükseltme güvenlik açığı, Netlogon Remote Protocol (MS-NRPC) üzerindeki bir zafiyetten yararlanarak saldırganın, etki alanı denetleyicisinin makine hesabı da dahil olmak üzere sistemi taklit edebilmesine olanak sağlıyor.
Secura’dan Güvenlik Uzmanı Tom Tervoort tarafından keşfedilen güvenlik açığı, uzaktaki bir saldırganın Netlogon protokolü ile etki alanı denetleyicisinin parolasını değiştirebilmesi için taklit edilmiş bir kimlik doğrulama belirteci oluşturmasına olanak sağlıyor. Ardından saldırgan etki alanı denetleyicisini devralmak, ek kimlik doğrulama bilgilerini değiştirmek veya eklemek, ayrıcalıkları artırmak veya aynı etki alanındaki diğer makinelere geçiş yapabilmek için yeni parolayı kullanabilir.
Daha sonra, diğer araştırmacılar Zerologon güvenlik açığını etki alanı parolalarını sıfırlamanın ötesinde operasyonel hale getirmenin daha fazla yollarını keşfettiler. Tüm etki alanı parolalarını dışarı aktarma seçeneği de buna dahil. Bu gelişme ile işletmelerin ne kadar büyük bir risk altında olduğu ortaya çıkmaktadır.
Böyle bir saldırının başarılı olabilmesi için saldırganın etki alanı denetleyicisi ile aynı ağda bulunan bir aygıta uzaktan veya fiziksel bir erişiminin olması gerekir. Ancak geçerli etki alanı kimlik bilgileri veya etki alanı üyeliğinin olması başarılı bir saldırı için ön koşul değildir.
Güvenlik açığının ortaya çıkması ile bu açıktan yararlanmak için kullanılabilecek kod da açığa çıktı ve bununla beraber CISA, güvenlik açığının “kabul edilemez risk” oluşturduğunu ve “anında ve acil müdahale” gerektirdiğini belirtti.
Microsoft, Zerologon için bir başlangıç yaması yayınlamış olsada, bu işletim sistemi satıcısının 2021’in ilk çeyreğine kadar tamamlamayı beklediği rollout’un başlangıç aşamasıdır. Bu arada Microsoft, mevcut güncellemenin yalnızca desteklenen Windows cihazlarını koruduğunu ve Netlogon MS-NRPC protokolünü kullanarak etki alanı denetleyicileri ile iletişim kuran eski Windows sürümlerini ve diğer cihazları güvenlik ihlallerine açık bıraktığını belirtiyor.
Dahası, ilk yama Zerologon kullanılan bir saldırıyı engellemiyor. Bunun yerine güvenli olmayan RPC’yi algılamak için günlük kaydı ve protokolü kullanan herhangi bir cihaz yoksa bu RPC’yi devre dışı bırakmak için kayıt defterinde düzenlemeler yapıyor.
Zerologon’un Kötüye Kullanımının Tespit Edilmesi ve Savunulması
Endpoint tarafından bakıldığında saldırgan aslında yasal kullanıcı/hesap davranışına benzer bir şekilde etki alanında kimlik doğrulaması yaptığından bu saldırının tespit edilmesi zor olabilir. Ek olarak birincil saldırı vektörü ağ düzeyinde olduğu için kusurun doğrudan ele alınması, birçok geleneksel Endpoint çözümü için “kapsam dışıdır.”
Buna karşılık SentinelOne araştırmacıları, bu istismarın Endpoint tarafında tespit edilmesini sağlamak için bazı benzersiz, tescilli SentinelOne yeniliklerinden yararlanan vektörden bağımsız bir yaklaşım benimsemiştir. SentinelLabs araştırma ekibi, mevcut durum içerisinde çok sayıda test yürütmektedir. Analizleri sırasında saldırının başarılı olması halinde bile etki alanı denetleyicisi ile iletişimi olumsuz şekilde etkilediği için etki alanı denetleyicisinde saldırının dikkat çekici olabileceği görülüyor.
Araştırmanın bir sonucu olarak SentinelOne platformu hem ilk istismarı hem de hedeflenen bir sisteme yönelik istismar sonrası saldırıları tespit edebilmektedir. Saldırı ağdan başlarken Endpoint gelen trafik girişimlerinin tamamen farkındadır.
Sistem içinde yapılan kimlik doğrulama girişimleri hem yerelden hem de uzaktan izlenmektedir. Daha sonra bu kimlik doğrulama girişimleri davranışsal AI motorundan geçiriliyor ve istismar girişimleri zararsız kimlik doğruma girişimlerinden ayırt edilebiliyor.
Eline sağlık.
Teşekkür ederim hocam.