Haberler

Microsoft, Windows KrbRelayUp LPE Saldırıları İçin Rehber Paylaştı

Microsoft, IT uzmanlarının Windows kurumsal ortamlarını saldırganların varsayılan yapılandırmalara sahip Windows sistemlerinde system ayrıcalıkları kazanmasını sağlayan KrbRelayUp saldırılarına karşı savunmasına yardımcı olacak bir kılavuz paylaştı.

Davidovich , Pazartesi günü KrbRelayUp’ın LDAP signing zorunlu kılındığında da çalışan ve Active Directory Sertifika Hizmetleri (AD CS) için Kimlik Doğrulama için Genişletilmiş Koruma (EPA) etkinleştirilmemişse saldırganlara system ayrıcalıkları sağlayacak güncellenmiş bir tool yayınladı.

https://twitter.com/GossiTheDog/status/1519004506184462341?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1519004506184462341%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.bleepingcomputer.com%2Fnews%2Fsecurity%2Fmicrosoft-shares-mitigation-for-windows-krbrelayup-lpe-attacks%2F

Microsoft, bu ayrıcalık yükseltme aracının bulut tabanlı Azure Active Directory ortamlarına sahip kuruluşlara karşı çalışmadığını söylüyor. Ancak KrbRelayUp, etki alanı denetleyicilerinin Azure AD ile eşitlendiği hibrit AD ortamlarında Azure sanal makinelerinin güvenliğinin ihlal edilmesine kullanılabilir.

Microsoft 365 Defender Araştırma Ekibinden Zeev Rabinovich ve Ofir Shlomo, “Bu saldırı Azure Active Directory’ye (Azure AD) katılan cihazlarda çalışmasa da, şirket içi etki alanı denetleyicilerine sahip hibrit birleştirilmiş cihazlar savunmasız kalmaya devam ediyor. Bir saldırgan, eşitlenmiş bir hesap kullanarak bir Azure sanal makinesine saldırırsa sanal makinede system ayrıcalıkları alacak.” dendi.

Microsoft, bu tür girişimleri engellemeye ve kurumsal ağları KrbRelayUp kullanan saldırılara karşı savunmaya ilişkin yönergeleri paylaştı. Redmond’un tavsiyelerine göre, yöneticilerin  LDAP sunucu imzalamayı zorunlu kılarak ve Kimlik Doğrulama için Genişletilmiş Korumayı (EPA) etkinleştirerek LDAP istemcileri ve Active Directory (AD) etki alanı denetleyicileri arasındaki iletişimi güvence altına alması gerekiyor.

Microsoft’un dediği gibi, kuruluşlara “bu tehdidin etkisini azaltmak” için aşağıdaki azaltıcı önlemleri uygulamaları öneriyor;

  • Microsoft, LDAP imzalamayı etkinleştirmek için rehberlik yayınladı. Microsoft, yöneticilerin LDAP imzalama ve söz konusu danışma belgesinde önerildiği gibi ayrıntılı olarak açıklandığı şekilde yapılandırmasını öneriyor.
  • Kuruluşlar ayrıca, bir saldırganın saldırılar için öznitelikten yararlanmasını zorlaştırmak için ms-DS-MachineAccountQuota  özniteliğini  0 olarak ayarlamayı düşünmelidir. Özniteliğin 0 olarak ayarlanması, yönetici olmayan kullanıcıların etki alanına yeni cihazlar eklemesini durdurur, saldırının ilk adımını gerçekleştirmek için en etkili yöntemi engeller ve saldırganları uygun bir kaynak elde etmek için daha karmaşık yöntemler seçmeye zorlar.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu