Bilgisayar Korsanları, Windows NTLM Belirteçlerini Çalmak için 'Zorunlu Kimlik Doğrulama'dan Yararlanabilir

Siber güvenlik araştırmacıları, bir kurbanı özel hazırlanmış bir Microsoft Access dosyasını açması için kandırarak bir Windows kullanıcısının NT LAN Manager (NTLM) belirteçlerini sızdırmak için kullanılabilecek bir "zorunlu kimlik doğrulama" vakası keşfetti.

Saldırı, veritabanı yönetim sistemi çözümündeki, kullanıcıların uzak SQL Server tablosu gibi dış veri kaynaklarına bağlanmasına olanak tanıyan meşru bir özellikten yararlanır.

Check Point güvenlik araştırmacısı Haifei Li, "Bu özellik, saldırganlar tarafından Windows kullanıcısının NTLM belirteçlerini, 80 numaralı bağlantı noktası gibi herhangi bir TCP bağlantı noktası aracılığıyla saldırgan tarafından kontrol edilen herhangi bir sunucuya otomatik olarak sızdırmak için kötüye kullanılabilir" dedi. "Saldırı, kurban bir .accdb veya .mdb dosyası açtığı sürece başlatılabilir. Aslında, daha yaygın olan herhangi bir Office dosya türü (.rtf gibi) de çalışabilir."

Microsoft tarafından 1993 yılında tanıtılan bir kimlik doğrulama protokolü olan NTLM, oturum açma sırasında kullanıcıların kimliğini doğrulamak için kullanılan bir sınama-yanıt protokolüdür. Yıllar geçtikçe, kaba kuvvet, hash geçişi ve röle saldırılarına karşı savunmasız olduğu bulunmuştur.

Özetle, en son saldırı, Nesne Bağlama ve Katıştırma (OLE) adı verilen bir mekanizma kullanarak bir MS Word belgesinin içine uzak SQL Server veritabanı bağlantısı içeren bir .accdb dosyası katıştırarak NTLM karmalarını aktör tarafından denetlenen bir sunucuya sızdırmak için Access'teki bağlantılı tablo özelliğini kötüye kullanır.

Li, "Bir saldırgan, 80 numaralı bağlantı noktasını dinleyerek kontrol ettiği bir sunucu kurabilir ve IP adresini yukarıdaki 'sunucu takma adı' alanına koyabilir" dedi. "Ardından, bağlantılı tablo da dahil olmak üzere veritabanı dosyasını kurbana gönderebilirler."

Kurban dosyayı açar ve bağlantılı tabloya tıklarsa, kurban istemci kimlik doğrulaması için saldırgan tarafından kontrol edilen sunucuyla bağlantı kurar ve saldırganın aynı kuruluştaki hedeflenen bir NTLM sunucusuyla bir kimlik doğrulama işlemi başlatarak bir geçiş saldırısı gerçekleştirmesini sağlar.

Sahte sunucu daha sonra sınamayı alır, kimlik doğrulama işleminin bir parçası olarak kurbana iletir ve sonunda NTLM sunucusuna iletilen geçerli bir yanıt alır.

Microsoft, Ocak 2023'te sorumlu bir şekilde yapılan açıklamanın ardından Office/Access sürümündeki (Geçerli Kanal, sürüm 2306, derleme 16529.20182) sorun için azaltıcı etkenler yayınlamış olsa da, 0patch Office 2010, Office 2013, Office 2016, Office 2019 ve Office 365 için resmi olmayan düzeltmeler yayınladı.

Gelişme aynı zamanda Microsoft'un gelişmiş güvenlik için Windows 11'de NTLM'yi Kerberos lehine durdurma planlarını duyurmasıyla geliyor.