Haberler

Microsoft, ShadowCoerce Windows NTLM Relay Zafiyetini Kapattı

Microsoft, NTLM geçiş saldırılarında izin veren ve ‘ShadowCoerce’ olarak adlandıran güvenlik açığını düzelttiğini doğruladı. Microsoft’un bu güvenlik açığını düzeltti ancak herhangi bir ayrıntı vermedi.

ShadowCoerce, güvenlik araştırmacısı Lionel Gilles tarafından 2021’in sonlarında PetitPotam saldırısını gösteren bir sunumda keşfedildi. Saldırgan, VSS Aracı Hizmetinin etkinleştirildiği sistemlerde yalnızca MS-FSRVP (Dosya Sunucusu Uzak VSS Protokolü) üzerinden kimlik doğrulamasını zorlayabiliyor. MS-FSRVP  , uzak bilgisayarlarda dosya paylaşımı gölge kopyaları oluşturmak için kullanılan uzaktan yordam çağrısı (RPC) tabanlı bir protokol.

Windows etki alanını tamamen ele geçirmek için saldırganların hedefinde bu sefer, Microsoft Active Directory Sertifika Hizmeti bulunuyor. Saldırganlar kimlik doğrulama isteğini HTTP aracılığıyla etki alanınındaki Active Directory Sertifika Hizmetlerine iletiyor ve bir Kerberos bilet (TGT) alınmasını sağlıyor. Bu bilet, saldırganların domain controller’lar da dahil olmak üzere ağdaki herhangi bir cihazın kimlik bilgilerini almasına izin veriyor.

Zafiyetten korunma yöntemlerine bakınca, Active Directory Sertifika Hizmetleri sunucularında web hizmetlerinin devre dışı bırakılmasını, etki alanı denetleyicilerinde NTLM’nin devre dışı bırakılmasını ve  Windows kimlik bilgilerini korumak  için Kimlik Doğrulaması için Genişletilmiş Koruma  ve imzalama özelliklerinin (  SMB imzalama gibi) etkinleştirilmesi tavsiye ediliyor.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.