MS14-068 zafiyetine ait güncelleme KB3011780 güncelleme paketi bulunmaktadır. Bu paketin sistemde mevcudiyetini kontrol etmek için bağlantıdaki [1] Powershell betiği kullanılabilir veya daha basit olarak zafiyetin aranacağı bilgisayar (etki alanı denetleyicisi – DC) üzerinde aşağıdaki komut çalıştırılabilir:
wmic qfe where HotFixID=”KB3011780″ get Caption, HotFixID
KB3011780 güncelleme paketi, Microsoft etki alanındaki bir kullanıcının uzaktan (remotely) Domain Admin yetkilerine sahip olmasını engelleyebilecek bir zafiyete aittir. Windows Server 2003 ve sonrasındaki bir sunucunun oluşturduğu etki alanında herhangi bir kullanıcı bu zafiyeti kullanarak, kendi haklarını Domain Admin haklarına yükseltebilir ve tüm etki alanı nesneleri üzerinde yetkiye sahip olabilir. Bu zafiyet kritik olarak nitelenmiştir. Microsoft ortamında Kerberos ile kimlik doğrulama aşamasında, KDC (Kerberos Distribution Center) bilet talepleri ile ilgilenir. TGT (Ticket Granting Ticket) ve servis bileti PAC (Privilege Attribute Certificate) adı verilen bir takım bilgiler içerir. PAC içerisinde, kullanıcıya ait SID ve kullanıcının sahip olduğu güvenlik gruplarının (security group) listesi olmak üzere bir takım bilgiler bulunur. KDC, TGT’yi ( ve içerisindeki PAC’ı) imzalayarak asıl biletin değiştirilmediğini garanti eder. Daha sonra da servis bileti alınacağı zaman imzalanan TGT kullanıcıdan talep edilir ve arzu edilen servis bileti kullanıcıya gönderilir. Böylece hizmet verecek yer PAC imzasını doğrular ve kullanıcı için bir oturum bileti (logon ticket) oluşturur. Bu bilet oluşturulurken de PAC içerisindeki veriler kullanılır.
Ancak bu bilet içerisindeki PAC (Privilege Attribute Certificate) imzasının doğruluğu düzgün bir şekilde kontrol edilmemesi bu zafiyete sebep olur. Bu sebeple de; kimlik doğrulama işlemini gerçekleştirmiş olan ve yetkilendirme aşamasına geçmiş olan herhangi bir etki alanı kullanıcısı, yetkilendirmedeki bu zafiyet sebebiyle tüm etki alanında tam yetkiye sahip olur.
Kaynaklar:
[1] https://www.shellandco.net/ms14-068-check-domain-controllers-date/
[2] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/kerberos-authentication-on-microsoft-environments/
[3] http://adsecurity.org/?p=574
[4] http://adsecurity.org/?p=541
[5] http://adsecurity.org/?p=676
[6] http://adsecurity.org/?p=525