Windows sistemlerini etkileyen SMB protokolüme yönelik NTLM kimlik doğrulamasının otomatik olarak yapılmasını sağlayan bir açıklık tespit edildi.Açıklık saldırganlar tarafından aynı ağda bulunulduğunda MITM (Man in the middle) saldırısıyla DNS poisoning yapılarak istismar edilebilmektedir.Açıklığı Kali yüklü bir bilgisayarda ve dns isteklerini go.microsoft.com’a yönlendiren dnsmasq uygulamasıyla test etme imkanı buldum.Hedef sistem windows sunucunun yer aldığı bir bilgisayardı.Windows yüklü bilgisayarın ağ geçidi IP’sini otomatik olarak Kali makinesinden almak üzere ayarladım.Kali makinesinden IP alma işlemi gerçekleştikten sonra Microsoft Baseline Security Analyzer aracıyla Kali makinesinin IP adresini girerek tarama işlemi gerçekleştirmeyi denediğimde Kali makinesinde çalışır durumda olan smbtrap yani smb mitm saldırısını gerçekleştiren aracın Kullanıcı adı ve şifrenin parola özetini yakalayabildiğini gördüm.Parolayı yakalayamamızın sebebi güçlü bir şifre kullanmamdı.
Denememi http://blog.cylance.com/redirect-to-smb adresini referans alarak gerçekleştirdim.
USOM AÇIKLAMASI:
HTTP isteklerini kullanan Microsoft Windows üzerinde çalışan yazılım, kötü amaçlı bir sunucu üzerinde file:// protokolüne yönlendirilebilir, bu durumda Windows kötü amaçlı sunucuda Server Message Block (SMB) üzerinden kimlik doğrulaması yapmayı dener. Kullanıcı kimlik bilgilerinin şifreli hali kötü amaçlı sunucuda kayıt altına alınır. Bu zafiyet ayrıca “SMB’ye yönlendir” olarak ta bilinir.
Tanım
CWE-201: Gönderilen Veri üzerinden Bilgi İfşası
Birçok yazılım ürünü, yazılım güncelleme kontrolü gibi çeşitli amaçlarla HTTP istekleri kullanır. Kötü amaçlı bir kullanıcı bu tür isteklerin arasına girerek (örneğin MITM proxy vasıtasıyla) HTTP Redirect kullanarak mağduru kötü amaçlı bir SMB sunucusuna yönlendirebilir. Yönlendirme file:// URL ise ve mağdur Microsoft Windows kullanıyorsa, Windows otomatik olarak kimlik doğrulaması yapmak amacıyla kullanıcı bilgilerini sunucuya yollar. Bahse konu kullanıcı bilgileri kötü amaçlı sunucu tarafından kayıt edilebilir. Bu bilgiler şifrelenmiş olsa da, “brute-force” saldırısı ile şifreler elde edilebilir.
Çözüm
Bu sorunun şu anda net bir çözümü mevcut değildir. Ulusal Siber Olaylara Müdahale Merkezi (USOM) kullanıcı ve sistem yöneticilerine aşağıdaki geçici çözümleri kullanabilirler.
1.Giden SMB Bloklaması
Yerel ağdan çıkan SMB bağlantıları (TCP portları 139 ve 445) engellenebilir.
2.NTLM Grup ilkesi güncelleyin
Bu saldırı bazı durumlarda uygun grup politikası aracılığıyla NTLM kullanımını kısıtlayarak azaltılabilir. İlk iki referansa bakınız.
3.Uygulamalarda varsayılan kimlik doğrulama için NTLM kullanmayın
Kaynak:www.usom.gov.tr
Kaynak:http://blog.cylance.com/redirect-to-smb