Haberler

Microsoft, Windows KrbRelayUp LPE Saldırıları İçin Rehber Paylaştı

Microsoft, IT uzmanlarının Windows kurumsal ortamlarını saldırganların varsayılan yapılandırmalara sahip Windows sistemlerinde system ayrıcalıkları kazanmasını sağlayan KrbRelayUp saldırılarına karşı savunmasına yardımcı olacak bir kılavuz paylaştı.

Davidovich , Pazartesi günü KrbRelayUp’ın LDAP signing zorunlu kılındığında da çalışan ve Active Directory Sertifika Hizmetleri (AD CS) için Kimlik Doğrulama için Genişletilmiş Koruma (EPA) etkinleştirilmemişse saldırganlara system ayrıcalıkları sağlayacak güncellenmiş bir tool yayınladı.

Microsoft, bu ayrıcalık yükseltme aracının bulut tabanlı Azure Active Directory ortamlarına sahip kuruluşlara karşı çalışmadığını söylüyor. Ancak KrbRelayUp, etki alanı denetleyicilerinin Azure AD ile eşitlendiği hibrit AD ortamlarında Azure sanal makinelerinin güvenliğinin ihlal edilmesine kullanılabilir.

Microsoft 365 Defender Araştırma Ekibinden Zeev Rabinovich ve Ofir Shlomo, “Bu saldırı Azure Active Directory’ye (Azure AD) katılan cihazlarda çalışmasa da, şirket içi etki alanı denetleyicilerine sahip hibrit birleştirilmiş cihazlar savunmasız kalmaya devam ediyor. Bir saldırgan, eşitlenmiş bir hesap kullanarak bir Azure sanal makinesine saldırırsa sanal makinede system ayrıcalıkları alacak.” dendi.

Microsoft, bu tür girişimleri engellemeye ve kurumsal ağları KrbRelayUp kullanan saldırılara karşı savunmaya ilişkin yönergeleri paylaştı. Redmond’un tavsiyelerine göre, yöneticilerin  LDAP sunucu imzalamayı zorunlu kılarak ve Kimlik Doğrulama için Genişletilmiş Korumayı (EPA) etkinleştirerek LDAP istemcileri ve Active Directory (AD) etki alanı denetleyicileri arasındaki iletişimi güvence altına alması gerekiyor.

Microsoft’un dediği gibi, kuruluşlara “bu tehdidin etkisini azaltmak” için aşağıdaki azaltıcı önlemleri uygulamaları öneriyor;

  • Microsoft, LDAP imzalamayı etkinleştirmek için rehberlik yayınladı. Microsoft, yöneticilerin LDAP imzalama ve söz konusu danışma belgesinde önerildiği gibi ayrıntılı olarak açıklandığı şekilde yapılandırmasını öneriyor.
  • Kuruluşlar ayrıca, bir saldırganın saldırılar için öznitelikten yararlanmasını zorlaştırmak için ms-DS-MachineAccountQuota  özniteliğini  0 olarak ayarlamayı düşünmelidir. Özniteliğin 0 olarak ayarlanması, yönetici olmayan kullanıcıların etki alanına yeni cihazlar eklemesini durdurur, saldırının ilk adımını gerçekleştirmek için en etkili yöntemi engeller ve saldırganları uygun bir kaynak elde etmek için daha karmaşık yöntemler seçmeye zorlar.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.