Zerologon nedir?
Zerologon, Microsoft Active Directory etki alan? denetleyicilerine y?nelik bir sald?r?ya izin veren Microsoft'un Netlogon i?leminin ?ifrelemesindeki bir g¨¹venlik a????d?r. Zerologon, bir bilgisayar korsan?n?n k?k etki alan? denetleyicisi de dahil olmak ¨¹zere herhangi bir bilgisayar?n kimli?ine b¨¹r¨¹nmesine olanak tan?r.
Zerologon
Zerologon, CVE-2020-1472 ile tan?mlanan g¨¹venlik a????na verilen add?r. Oturum a?ma i?lemindeki bir hatadan kaynaklan?r: Ba?latma vekt?r¨¹ (IV) her zaman t¨¹m s?f?rlara ayarlan?r, IV ise her zaman rastgele bir say? olmal?d?r.
Bu tehlikeli g¨¹venlik a????, CVSS (Common Vulnerability Scoring System) sisteminde ?nem derecesi a??s?ndan 10 ¨¹zerinden 10 (CVSS v3.1) olarak de?erlendiriliyor. G¨¹venlik a????ndan faydalanan kan?tlanm?? (POC) istismarlar bulunuyor ve pek yak?nda ger?ek d¨¹nyada g?r¨¹lmeye ba?lanacak.
ABD'de Cybersecurity and Infrastructure Security Agency (CISA), sivil federal kurumlara etkilenen t¨¹m Windows sunucular?n? derhal yamalamalar?n? veya devre d??? b?rakmalar? konusunda uyaran bir acil durum y?nergesi yay?nlad? ve di?er sivil toplum kurulu?lar?n?n ayn?s?n? yapmalar? gerekti?i konusunda uyard?. Microsoft, bu g¨¹venlik a????n? hedefleyen ilk iki yamay? A?ustos 2020'de yay?nlad?. Bu iki yaman?n t¨¹m etki alan? denetleyicilerine uygulanmas? gerekiyor.
Bu g¨¹venlik a????, Microsoft'un Active Directory Netlogon Uzak Protokol¨¹'ndeki (MS-NRPC) bir ?ifreleme hatas?ndan yararlan?yor. kullanan sunucularda oturum a?malar?na olanak tan?yan bir ?ifreleme kusurundan yararlan?yor.
Bu g¨¹venlik a????yla ilgili en b¨¹y¨¹k sorun, MS-NRPC'nin ayn? zamanda bilgisayar hizmeti hesab? parolalar? gibi belirli hesap de?i?ikliklerini iletmek i?in de kullan?lmas?. K?keni d¨¹?¨¹n¨¹ld¨¹?¨¹nde, bu ?zelli?in eklenmesinin gerek?esini g?rmek m¨¹mk¨¹nd¨¹r. Ancak bu ?ifrelerin de?i?tirilmesi talebinin yap?ld??? kaynakta do?rulama olmamas? ?nemli bir g¨¹venlik sorunu haline geldi.
Durum burada daha da k?t¨¹le?iyor. MS-NRPC'ye eklenen ?ifreleme ak?ll?ca se?ilmedi. 1883 y?l?nda Hollandal? kriptograf Aguste Kerckhoff, kriptografik sistemleri tasarlamak i?in 6 temel ilkeyi ?zetleyen La Cryptographie Militaire (Askeri Kriptografi) ba?l?kl? 2 makale yay?nlad?.
Bunlar?n en bilineni olan Kerckhoff Prensibi, kriptografik anahtar?m?z? gizli tutmam?z gerekti?ini belirtir. Ve verilerimizi korumak i?in algoritman?n gizlili?ine g¨¹venmemeli, iyi bilinen, iyi test edilmi?, kan?tlanm?? algoritmalar kullanmal?y?z.
Ba?lang??ta Windows NT'de oturum a?ma i?lemini ?ifrelemek i?in 2DES algoritmas? kullan?l?yordu ve art?k bununla ilgili sorunlar oldu?unu biliyoruz. G¨¹n¨¹m¨¹zde MS-NRPC, ?ifreleme i?in referans olarak kabul edilen Geli?mi? ?ifreleme Standard?n? (AES) kullan?yor.
Kan?tlanm?? g¨¹?l¨¹ bir algoritma se?menin yan? s?ra yeterli g¨¹c¨¹ sa?lamak i?in ek ayarlar se?ilmeli. MS-NRPC, Advanced Encryption Standard ¨C Cipher Feed Back 8bit (AES-CFB8) olarak bilinen belirsiz bir ayar kullan?yor. Bilinir olmad???ndan ve iyi test edilmedi?inden AES-CFB8 bir belirsizli?e sahiptir.
MS-NRPC'de AES-CFB8'in kullan?m?, rastgele bir say? olmas? gereken Ba?latma Vekt?r¨¹ (IV) ile ilgili bir soruna sahiptir, MS-NRPC bunu 16 bayt s?f?r de?eriyle sabitlemi?tir. Bu de?er rastgele de?ildir. Tahmin edilebilir. Kriptografi genellikle ?ng?r¨¹lebilirli?in oldu?u yerde k?r?l?r.
Bu g¨¹venlik a???? hakk?nda neler biliyoruz?
Bu g¨¹venlik a????, Secura¡¯da ?al??an Hollandal? bir ara?t?rmac? olan Tom Tervoort taraf?ndan Eyl¨¹l 2020'de duyuruldu. G¨¹venlik a???? asl?nda A?ustos ay?nda yay?nlanan yamayla kapat?ld?. Ancak ara?t?rmac? Eyl¨¹l ay?nda raporunu yay?nlayana kadar POC'ler ve di?er faaliyetler g?r¨¹lmeye ba?land?.
Tervoort, makalesinde a???? nas?l ke?fetti?ini ve s¨¹reci detayl? bir ?ekilde anlat?yor. Tervoort, ara?t?rmas? s?ras?nda MS-NRPC hakk?nda ?nemli bir bilgi eksikli?i oldu?unu fark etti. Merakl? bir ki?ili?e sahip olan Tervoot, bilginin pe?inden ko?maya ba?lad?.
Tervoort ba?lan??ta "person-in-the-middle" sald?r?s? ararken, CVE-2020-1424'te ayr?nt?lar? verilen ba?ka bir g¨¹venlik a????n? ke?fetti. Ara?t?rmaya devam eden Tervoot, ?u an Zerologon olarak tan?mlanan a???? buldu.
Ke?finin kritik k?sm?, Microsoft'un di?er t¨¹m RPC protokollerinden farkl? olan benzersiz bir ?ifreleme varyasyonu uygulamas?yd?. Windows NT g¨¹nlerinde, bir bilgisayara atanan hesaplar birinci s?n?f sorumlu olarak tan?mlanm?yordu. Bu, Microsoft'un bilgisayar veya makine hesaplar?n?n kimli?ini do?rulamak i?in standartla?t?r?lm?? Kerberos veya NTLM'yi kullanamayaca?? anlam?na geliyordu.?
Sonu? olarak geli?tiriciler bir alternatif ¨¹rettiler. K?r?lamayan ?ifreleme i?in kod ve protokoller olu?turmak inan?lmaz derecede zordur. Asl?nda, burada oldu?u gibi kusurlar?n ortaya ??kmas? inan?lmaz derecede uzun zaman alabilir.
Sald?r? nas?l i?liyor?
Bu g¨¹venlik a????, bir bilgisayar korsan?n?n k?k DC de dahil olmak ¨¹zere bir etki alan? denetleyicisinin (DC) denetimini ele ge?irmesine olanak tan?r. Bu, denetleyicideki bir hizmet hesab?n?n parolas?n? de?i?tirerek veya kald?rarak yap?l?r. Siber korsan sonras?nda hizmet reddine neden olabilir veya a??n tamam?n? ele ge?irip sahiplenebilir.
Sald?rganlar?n bu g¨¹venlik a????ndan yararlanabilmeleri i?in, bir DC ile bir iletim kontrol protokol¨¹ (TCP) oturumu kurabilmeleri gerekir. ?rne?in bir konferans salonu veya bir kullan?c?n?n masas? gibi fiziksel olarak a??n i?inde olmalar? gerekir.
Bu istismarlar, bug¨¹n bir i?letmeye mal olabilecek en pahal? sald?r?lar olan i?eriden sald?r?lar olarak nitelendiriliyor. Denetleyiciye TCP oturumu kurmak i?in bir yere tutunabildikleri s¨¹rece a??n d???ndan kurulabilirler.
AES-CFB8'i 16 baytl?k s?f?rlardan olu?an sabit bir IV ile kullanan Tervoort, kullan?lan her 256 anahtardan birinin, tamamen s?f?r de?erine sahip ?ifreli metin olu?turaca??n? ke?fetti. Bu, sald?rgan?n tamam? s?f?rlardan olu?an ?ifreli metin olu?turmaya ?al??mas? i?in son derece az say?da anahtard?r. Siber korsan?n bilgisayar?n?n bunu yapmas? en fazla 2-3 saniye s¨¹rer.
Peki bu neden ?nemli?
Bir DC ile ileti?im kuran makine, her zamanki gibi, sadece g¨¹ne yeni ba?layan bir kullan?c?ya aitse ortada ger?ek bir sorun yoktur. Bu k?t¨¹ yap?land?r?lm?? ?ifreli metin olu?ur, ancak a? kimlik do?rulama i?lemi ?al???r. Sorun yaln?zca bir siber korsan sistemden faydalanmaya ?al??t???nda ortaya ??kar.
Tervoort'un kan?tlad??? sald?r?da, siber korsan ?nce a?daki bir istemcinin kimlik bilgilerini veya parolas?n? taklit etmek zorunda kal?yor. IV'¨¹n MS-NRPC i?indeki yetersiz uygulamas? nedeniyle, do?ru ?ekilde elde etmek i?in yaln?zca 256 deneme yeterli oluyor.
Normalde bir kullan?c?n?n hesab?, ¨¹? hatal? ?ifre denemesinden sonra kilitlenir, ancak ayn? durum bir bilgisayar veya makine hesab? i?in ge?erli de?ildir. Bilgisayar oturum a?arken, siber korsanlar?n giri? yetkisi kazanmak i?in k?sa s¨¹rede ?ok say?da deneme yapmas?na neden olan ?ifre deneme say?s?nda herhangi bir s?n?rlama yoktur. Tek yapmalar? gereken tamamen s?f?rlardan olu?an ?ifreli bir metin olu?turan anahtarlardan birini bulmakt?r.
Siber korsan, a?daki bir bilgisayar?n kimli?ini taklit ettiklerinde neler yapabilirler? Kimlik sahtekarl???n?n ilk ad?m? tamamland???nda, sald?rgan oturumun ger?ek ?ifreleme anahtar?n? bilemeyecektir. Sald?rganlar, tamam? s?f?rdan olu?an ?ifreli metin ¨¹reten 256 anahtardan birini bularak kimlik sahtekarl??? yapmay? ba?ar?rlar. Sonraki ad?m, imzalama ve m¨¹h¨¹rlemeyi devre d??? b?rakmakt?r.
RPC imzalama ve m¨¹h¨¹rleme, MS-NRPC i?inde aktar?m ?ifrelemesi i?in kullan?lan mekanizmad?r. Aktarma s?ras?nda daha fazla verimizi ?ifrelememiz gerekti?i i?in bu mant?kl? bir s¨¹re? gibi g?r¨¹n¨¹r. Ancak MS-NRPC i?inde bu, bir mesaj?n ba?l???na bir i?aret koymayarak kapat?lan iste?e ba?l? bir ?zelliktir.?
?mzalama ve m¨¹h¨¹rleme kapal?ysa mesajlar a??k olarak g?nderilir. Bilgisayar korsanlar?, bir ?ifreyi kald?rmak veya ba?ka bir de?ere ayarlamak da dahil olmak ¨¹zere, istedikleri herhangi bir eylemi ger?ekle?tirebilirler. ?mzalama ve m¨¹h¨¹rlemeyi zorunlu k?lacak bir yama ?ubat 2021'de Microsoft taraf?ndan yay?nlanacak.
??¨¹nc¨¹ ad?m, ele ge?irilen hesab?n parolas?n? de?i?tirmektir. Ele ge?irilebilecek en etkili cihaz Active Directory sunucusu, tercihen k?k Active Directory sunucusu olacakt?r. Sald?rganlar ?ifreyi de?i?tirmek i?in MS-NRPC'de NetServerPasswordSet2 mesaj?n? kullan?r.
?er?eveyi tercih edilen yeni ?ifre ile g?ndererek ?ifreyi de?i?tirmek m¨¹mk¨¹nd¨¹r. En kolay yakla??m, parolay? kald?rmak veya bo? bir de?er olarak ayarlamakt?r.?Siber korsan art?k normal bir i?lemle oturum a?abilir.?
Sald?r?, a?daki rastgele bir bilgisayar? hedeflerse, bu bilgisayar oturum a?amaz. Bu nedenle, bu sald?r?n?n ilk sonucu, bu bilgisayara ger?ekle?tirilen hizmet reddi sald?r?s?d?r.
K¨¹resel etki
Art?k birden fazla genel POC mevcut. AD sunucular?na yama uygulanmad??? takdirde, sald?r? bir a?a fidye yaz?l?m? enjekte etmek i?in kullan?labilece?inden i?letmelere b¨¹y¨¹k zararlar verilebilir.
Sunucular?n?z?n bu sald?r?lara uygun olup olmad???n? kontrol eden ara?lar bulunuyor. Tervoort ve Secura, etki alan? denetleyicilerinizin yamal? oldu?unu do?rulamak veya savunmas?z olup olmad?klar?n? tespit etmek i?in GitHub'da bir ara? yay?nlad?.
CVE-2020-1472 i?in yama
Microsoft A?ustos 2020'de CVE-2020-1472 (Zerologon) i?in bir yama yay?nlad?. Yaman?n t¨¹m AD sunucular?na (2008 R2 ve sonras?) m¨¹mk¨¹n olan en k?sa s¨¹rede uygulanmas? gerekiyor. Ancak, yaman? yay?nlanmas?ndan sunuculara da??t?lmas?na kadar ge?en ortalama s¨¹re hala ?ok uzun.
Ara?t?rmac?lar, ortalama bir kurulu?ta, bir yaman?n yay?nlanmas?yla y¨¹klenmesi aras?nda 60 ila 150 g¨¹n (yakla??k 5 ay) oldu?unu belirtiyorlar. Buna MTTP (Ortalama Yama S¨¹resi - Mean Time to Patch) ad? veriliyor.
Maalesef yeni yay?nlanan yamalar da sorunun evrensel ??z¨¹m¨¹ de?il. Microsoft, yaman?n zorlama i?erecek olan ikinci a?amas?n? ?ubat 2021'in ba?lar?nda yay?nlamay? planl?yor.
Bu yama y¨¹klendikten sonra t¨¹m cihazlar?n g¨¹venli kanal modunu kullanmas? gerekecek. Kullanmad?klar? takdirde eri?imleri reddedilecek. Uyumlu olmayan eski cihazlar varsa bu cihazlar?n a??k?a eri?melerine izin veren bir grup politikas?na elle eklenmeleri gerekecek.
Sanal yama
Ele ge?irilmi? hesaplar?, a?lar?, k?t¨¹ niyetli trafi?i ve di?er g¨¹venlik ihlal g?stergelerini izlemek i?in her zaman geleneksel g¨¹venlik ?nlemleri uygulanmal?d?r. A? ve ana cihazlar (t¨¹m u? noktalar) i?in ihlal ?nleme sistemleri (IPS) ve k?t¨¹ ama?l? yaz?l?mdan koruma yaz?l?m?, fidye yaz?l?mlar?, vir¨¹sler ve di?er tehditleri izlemek i?in kritik ?neme sahiptir.
G¨¹nl¨¹klerin toplanmas?, merkezile?tirilmesi ve bir SIEM taraf?ndan analiz edilmesi gerekir. G¨¹nl¨¹kler analiz edildikten sonra, s?zma g?stergelerine (IoC) m¨¹dahale edecek ki?iler ve s¨¹re?ler bulunmal?d?r. Daha sonra, g¨¹?l¨¹ prosed¨¹rlere ve bilgiye sahip bir olay m¨¹dahale ekibi, s?zman?n kapsam?na karar vermeli ve ??z¨¹me y?nelik ?al??mal?d?r.
Bir tedarik?i yamas?n?n mevcudiyetine ra?men, bir?ok m¨¹?terinin yamalar? da??tmak ve ortamlar?n? korumak ad?na ek g¨¹venlik ?nlemleri uygulamak i?in zamana ihtiyac? vard?r. IPS gibi ara?lar arac?l???yla sanal yama yapma konsepti, y?neticilere ve g¨¹venlik uzmanlar?na ek bir ara? sa?lar.
A?lar?n? g¨¹vence alt?na almak i?in kritik ek zaman kazanmalar?na yard?mc? olur. Tedarik?ilerin yay?nlad?klar? yamalar, hala ?nerilen hafifletme y?ntemidir. Sanal yama ??³ú¨¹³¾±ô±ð°ùi, yama uygulanmam?? makinelerin korunmas?na yard?mc? olur. ?o?u durumda, g¨¹nl¨¹k denetimi gibi ?zellikler arac?l???yla bir a?daki yama sonras? istismar giri?imleri hakk?nda da de?erli bilgiler sa?larlar.
live casino online m¨¹?terileri, ?u bilgi bankas? makalesini ziyaret ederek g¨¹venlik a????n? gidermek i?in en iyi uygulamalar ve nas?l yard?mc? olabilece?imiz hakk?nda daha fazla bilgiyi adresinden alabilirsiniz.
Zerologon Konular?
?lgili Kaynaklar
?lgili Ara?t?rmalar