Yeni Windows 11 Özelliği, SMB Üzerinden NTLM Temelli Saldırıları Engelleyecek
Microsoft, Windows 11’e yeni bir güvenlik özelliği ekledi. Bu özellik, yöneticilere NTLM üzerinden SMB’yi engelleyerek pass-the-hash, NTLM relay veya şifre kırma saldırılarını önlemelerine olanak tanıyacaktır.
Bu ek koruma özelliğini anlamak için öncelikle bir uzak paylaşıma bağlanırken neler olduğunu hatırlayalım? Diyelim uzak bir istemci veya sunucuya dosya paylaşımı (SMB) üzerinden bağlantı yapacaksınız ve uzak sunucu veya istemci de kimlik doğrulama için NTLM kullanıyor, bu süreç nasıl oluyor?
NTLM (NT LAN Manager) challenge-response, Microsoft’un Windows işletim sistemlerinde kullanılan bir kimlik doğrulama protokolüdür. Bu protokol, kullanıcıların ve sistemlerin kimliklerini doğrulamak için kullanılır. NTLM challenge-response, genellikle ağ kaynaklarına erişim kontrolü, kullanıcı oturum açma işlemleri ve kimlik doğrulama için kullanılır.
NTLM challenge-response işleyişi şu adımlardan oluşur:
1 – Kullanıcı bilgileri: Kullanıcı bir sistemde oturum açmak istediğinde, kullanıcı adı ve şifresi (veya bir parola türetilmiş bir hash değeri) sunar.
2 – Challenge (Tartışma): Sunucu, kullanıcının kimliğini doğrulamak için bir rasgele sayı olan “challenge”ı oluşturur ve kullanıcıya gönderir. Bu challenge, genellikle bir işlemle şifrelenir.
3 – Response (Yanıt): Kullanıcı, challenge’ı kullanarak kendi şifrelemiş yanıtı üretir. Bu yanıt, kullanıcı adı ve şifre (veya hash) ile challenge’ın bir işlem sonucunda üretilir.
4 – Yanıtın gönderilmesi: Kullanıcı, üretilen yanıtı sunucuya gönderir.
5 – Doğrulama: Sunucu, challenge ve kullanıcının yanıtını kullanarak, kullanıcının kimliğini doğrular. Eğer challenge ve yanıt doğru ise, kullanıcı oturum açabilir ve gerekli kaynaklara erişebilir.
Ancak aşağıdaki gibi bu sistemin zafiyetleri vardır;
NTLM challenge response, SMB paylaşımını açmaya çalışan oturum açmış kullanıcının hash bilgisini içerdiği için bunu bir başkası tekrar kullanabilir.
Windows 11′ e eklenen bu yeni özellik sayesinde bir sistem yöneticisi SMB üzerinden giden NTLM trafiğini keserek bu kritik verilerin çalınmasını engeller.
SMB NTLM Engelleme Grup İlkesi
Özetle aslında artık SMB üzerinde NTLM trafiğini engelleyebiliyoruz.
Bu ek güvenlik katmanı, işletim sistemi içinde NTLM kullanımını tamamen kapatma ihtiyacını ortadan kaldırıyor. Windows 11 Insider Preview Build 25951 ile başlayarak yöneticiler, Grup İlkesi ve PowerShell kullanarak uzaktaki bağlantılarında SMB üzerinden NTLM veri göndermeyi engellemek için Windows’u yapılandırabilirler. Ayrıca NET USE ve PowerShell kullanarak SMB bağlantılarında NTLM kullanımını tamamen kapatabilirler.
SMB imzalama ile Saldırıları Engelleme
Windows 11 Insider Preview Build 25381’i Canary Channel’e yayınlamasıyla birlikte Redmond, NTLM relay saldırılarına karşı savunma amacıyla varsayılan olarak tüm bağlantılarda SMB imzalamayı (yani güvenlik imzaları) zorunlu hale getirdi.
SMB imzalama, her iletiye eklenen gömülü imzalar ve hash değerleri kullanarak gönderen ve alıcının kimliğini doğrulayarak kötü niyetli kimlik doğrulama isteklerini engellemede kritik bir rol oynayan bir SMB güvenlik mekanizmasıdır. Bu, Windows 98 ve 2000 ile başladı ve Windows 11 ve Windows Server 2022’de veri şifreleme hızlarını önemli ölçüde hızlandırarak korumayı ve performansı artırmak için güncellendi.
Kaynak: bleepingcomputer.com
