MS14-068 Kerberos Güvenlik Açıklığı ile Hak Yükseltme Zafiyetinin Sebebi

Microsoft tarafından “Vulnerability in Kerberos Could Allow Elevation of Privilege (3011780)” adlı güvenlik bülteni 18 Kasım 2014 tarihinde yayınlanmıştı. Bu yazıda, MS14-068 hak yükseltme zafiyetinin sebebi incelenecektir.

MS14-068 zafiyetine ait güncelleme KB3011780 güncelleme paketi bulunmaktadır. Bu paketin sistemde mevcudiyetini kontrol etmek için bağlantıdaki [1] Powershell betiği kullanılabilir veya daha basit olarak zafiyetin aranacağı bilgisayar (etki alanı denetleyicisi – DC) üzerinde aşağıdaki komut çalıştırılabilir:

wmic qfe where HotFixID=”KB3011780″ get Caption, HotFixID

KB3011780 güncelleme paketi, Microsoft etki alanındaki bir kullanıcının uzaktan (remotely) Domain Admin yetkilerine sahip olmasını engelleyebilecek bir zafiyete aittir. Windows Server 2003 ve sonrasındaki bir sunucunun oluşturduğu etki alanında herhangi bir kullanıcı bu zafiyeti kullanarak, kendi haklarını Domain Admin haklarına yükseltebilir ve tüm etki alanı nesneleri üzerinde yetkiye sahip olabilir. Bu zafiyet kritik olarak nitelenmiştir. Microsoft ortamında Kerberos ile kimlik doğrulama aşamasında, KDC (Kerberos Distribution Center) bilet talepleri ile ilgilenir. TGT (Ticket Granting Ticket) ve servis bileti PAC (Privilege Attribute Certificate) adı verilen bir takım bilgiler içerir. PAC içerisinde, kullanıcıya ait SID ve kullanıcının sahip olduğu güvenlik gruplarının (security group) listesi olmak üzere bir takım bilgiler bulunur. KDC, TGT’yi ( ve içerisindeki PAC’ı) imzalayarak asıl biletin değiştirilmediğini garanti eder. Daha sonra da servis bileti alınacağı zaman imzalanan TGT kullanıcıdan talep edilir ve arzu edilen servis bileti kullanıcıya gönderilir. Böylece hizmet verecek yer PAC imzasını doğrular ve kullanıcı için bir oturum bileti (logon ticket) oluşturur. Bu bilet oluşturulurken de PAC içerisindeki veriler kullanılır.

Ancak bu bilet içerisindeki PAC (Privilege Attribute Certificate) imzasının doğruluğu düzgün bir şekilde kontrol edilmemesi bu zafiyete sebep olur. Bu sebeple de; kimlik doğrulama işlemini gerçekleştirmiş olan ve yetkilendirme aşamasına geçmiş olan herhangi bir etki alanı kullanıcısı, yetkilendirmedeki bu zafiyet sebebiyle tüm etki alanında tam yetkiye sahip olur.

 

Kaynaklar:

[1] https://www.shellandco.net/ms14-068-check-domain-controllers-date/
[2] http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/kerberos-authentication-on-microsoft-environments/
[3] http://adsecurity.org/?p=574
[4] http://adsecurity.org/?p=541
[5] http://adsecurity.org/?p=676
[6] http://adsecurity.org/?p=525

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.