Microsoft, NTLM geçiş saldırılarında izin veren ve ‘ShadowCoerce’ olarak adlandıran güvenlik açığını düzelttiğini doğruladı. Microsoft’un bu güvenlik açığını düzeltti ancak herhangi bir ayrıntı vermedi.
ShadowCoerce, güvenlik araştırmacısı Lionel Gilles tarafından 2021’in sonlarında PetitPotam saldırısını gösteren bir sunumda keşfedildi. Saldırgan, VSS Aracı Hizmetinin etkinleştirildiği sistemlerde yalnızca MS-FSRVP (Dosya Sunucusu Uzak VSS Protokolü) üzerinden kimlik doğrulamasını zorlayabiliyor. MS-FSRVP , uzak bilgisayarlarda dosya paylaşımı gölge kopyaları oluşturmak için kullanılan uzaktan yordam çağrısı (RPC) tabanlı bir protokol.
Windows etki alanını tamamen ele geçirmek için saldırganların hedefinde bu sefer, Microsoft Active Directory Sertifika Hizmeti bulunuyor. Saldırganlar kimlik doğrulama isteğini HTTP aracılığıyla etki alanınındaki Active Directory Sertifika Hizmetlerine iletiyor ve bir Kerberos bilet (TGT) alınmasını sağlıyor. Bu bilet, saldırganların domain controller’lar da dahil olmak üzere ağdaki herhangi bir cihazın kimlik bilgilerini almasına izin veriyor.
Zafiyetten korunma yöntemlerine bakınca, Active Directory Sertifika Hizmetleri sunucularında web hizmetlerinin devre dışı bırakılmasını, etki alanı denetleyicilerinde NTLM’nin devre dışı bırakılmasını ve Windows kimlik bilgilerini korumak için Kimlik Doğrulaması için Genişletilmiş Koruma ve imzalama özelliklerinin ( SMB imzalama gibi) etkinleştirilmesi tavsiye ediliyor.
Kaynak: bleepingcomputer.com
