Mimikatz ve WCE Gibi RAM Üzerinden Parolanın Açık Halini Ele Geçirebilen Araçlara Karşı Microsoft Tarafından Yayınlanan Yamaların Analizi

Mimikatz ve WCE (Windows Credentials Editor) gibi araçlar kullanılarak RAM üzerindeki kullanıcı adı ve parola bilgileri açık olarak elde edilebilmektedir. Microsoft bu saldırı tekniğine karşı bir takım yamalar yayınlamıştır. Bu yazıda, RAM üzerindeki kullanıcı erişim bilgilerinin elde edilmesine karşı Microsoft tarafından yayınlanan yamalar incelenecektir.

Microsoft, bellek üzerinden parolaların açık halinin elde edilmesini önlemek için 13 Mayıs 2014 tarihinde 2871997 numaralı en önemli ilk güncelleme bültenini yayınlamıştır [1]. Bu güncelleştirme paketi [2] Windows 8, Windows RT, Windows Server 2012, Windows 7 ve Windows Server 2008 R2 işletim sistemlerindeki kimlik hırsızlığını azaltmak için hazırlanmıştır. Bu yama sonrasında, Microsoft tarafından, 2973351 [3] ve 2975625 [4] güncelleştirmeleri de yayınlanmıştır.

Microsoft tarafından yayınlanan bu yamalardan sonra, Benjamin Delpy tarafından da Mimikatz’in 2.0 versiyonu yayınlanmıştır. Bu yazıda gerçekleştirilecek inceleme sırasında işletim sistemi sürümü ve mimarisi, yamanın geçilme durumu, kullanılan Mimikatz sürümü (1.0 ve 2.0), birbirinden farklı olan etki alanı ortamları kriterleri temel alınmıştır. İnceleme kriterleri şu şekildedir:

  • İşletim Sistemi Sürümü: Windows 7 Enterprise, Windows 8 Enterprise, Windows 2008 R2 Enterprise, Windows 2012 Data Center
  • İşletim Sistemi Mimarisi: 64 bit, 32 bit
  • Güncelleme Durumu: Yaması gerçekleştirilmemiş, Yaması gerçekleştirilmiş
  • Mimikatz Sürümü: 1.0 ve 2.0
  • Etki Alanı: WORKGROUP ve Ornek.local
  • Kullanıcı: Yerel bir yönetici kullanıcısı (WORKGROUP\Yonetici), etki alanında yönetici olan bir kullanıcı (ORNEK\DomainAdmin)

İnceleme temel olarak iki adımdan oluşmaktadır. İlk adımda yaması yapılmamış işletim sisteminde Mimikatz 1.0 ve 2.0 araçları kullanılmış ve parolaların elde edilip edilmediği sonucu not edilmiştir. İkinci adımda ise, Microsoft tarafından yayınlanan yama gerçekleştirilmiş olan işletim sisteminde Mimikatz 1.0 ve 2.0 araçları kullanılmış ve parolaların elde edilip edilmediği sonucu not edilmiştir.

İlk adımda; Microsoft tarafından hazırlanan yamaları yapılmamış olan “W7-Pro-SP1-x64-15GB” adındaki bir bilgisayarda “Yonetici” adlı bir yerel yönetici kullanıcısı ile oturum açılmıştır. Bu bilgisayardan, “W7-Ent-x86-15GB” adlı bilgisayara da “UzakYonetici” adlı bir yerel yönetici kullanıcısı ile RDP yoluyla bağlantı kurulmuştur. Bu durumdayken Mimikatz aracı kullanıldığında aşağıdaki gibi ekran görüntüleri elde edilmiştir.
İlk ekran görüntüsü eski sürüm Mimikatz ile, ikinci ekran görüntüsü ise yeni sürüm Mimikatz ile elde edilmiştir:

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session- with-microsoft-seucity-updates-01

Şekil – 1: Microsoft güncellemesi yapılmamış bir bilgisayarda Mimikatz 1.0 aracının çalıştırılması

 

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session- with-microsoft-seucity-updates-02

Şekil – 2: Microsoft güncellemesi yapılmamış bir bilgisayarda Mimikatz 2.0 aracının çalıştırılması

Sonuç olarak, ekran görüntüsünde de görüldüğü gibi, kimlik bilgileri 5 adet güvenlik destek sağlayıcısı (Security Support Provider – SSP) tarafından elde edilebilmiştir. “Yonetici” kullanıcısına ait parola “Aa123456” olarak elde edilmiş iken, “UzakYonetici” kullanıcısına ait parola ise “Bb123456” olarak elde edilmiştir.

İkinci adımın gerçekleştirilmesi için ilgili güncelleme paketi indirilerek işletim sistemi yaması gerçekleştirilmiştir.

Şekil - 3: Microsoft güncellemesinin gerçekleştirilmesi

Şekil – 3: Microsoft güncellemesinin gerçekleştirilmesi

İkinci adımda ise, yama işlemi sonrasında ilk adımdaki durumlar (oturum açılması ve RDP gerçekleştirilmesi) sağlandıktan sonra, Mimikatz 1.0 ve 2.0 sürümlerinin çalıştırılmasına ait ekran görüntüleri aşağıdaki gibidir:

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session- with-microsoft-seucity-updates-04

Şekil – 4: Microsoft güncellemesi yapılmış bir bilgisayarda Mimikatz 1.0 aracının çalıştırılması

 

Şekil - 5: Microsoft güncellemesi yapılmış bir bilgisayarda Mimikatz 2.0 aracının çalıştırılması

Şekil – 5: Microsoft güncellemesi yapılmış bir bilgisayarda Mimikatz 2.0 aracının çalıştırılması

Microsoft tarafından gerçekleştirilen güncelleme sonrasında WCE kaynak kodunda herhangi bir geliştirme gerçekleştirilmemiştir. Eski sürüm WCE ve son sürüm WCE aracıyla gerçekleştirilen incelemelerin sonucu aşağıdaki gibidir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session- with-microsoft-seucity-updates-06

Şekil – 6: Microsoft güncellemesi yapılmamış bir bilgisayarda eski ve yeni sürüm WCE aracının çalıştırılması

 

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session- with-microsoft-seucity-updates-07

Şekil – 7: Microsoft güncellemesi yapılmış bir bilgisayarda eski ve yeni sürüm WCE aracının çalıştırılması

Ekran görüntülerinde de görüldüğü gibi, Microsoft yamasının öncesinde ve sonrasında WCE aracıyla parolalar elde edilebilmektedir. Ancak RDP yapılan bilgisayara bağlantı bilgileri WCE aracıyla elde edilememektedir.

 

Sonuç

Gerçekleştirilen incelemeler sonucunda aşağıdaki gibi bir tablo elde edilmiştir:

Şekil - 8: Microsoft güncellemelerinin incelenmesine ait tablo

Şekil – 8: Microsoft güncellemelerinin incelenmesine ait tablo

Not: Yaması yapılmış Windows Server 2012 Data Center’da msv1_0 üzerinden parola özeti elde edilememektedir. Ancak genelleme bozulmaması için bu durum ihmal edilmiştir. Ayrıca, yaması geçilmiş bu işletim sisteminde WCE aracı düzgün olarak çalışmamaktadır.

Sonuçlardan da görüldüğü gibi, 2871997 ve sonraki 2 yama kimlik bilgisi hırsızlığını azaltmıştır. Ancak, parolalar wdigest ve ssp adlı sağlayıcılar üzerinden açık, msv1_0 üzerinden ise özet olarak elde edilebilmektedir.

 

Kaynaklar:

[1] https://technet.microsoft.com/library/security/2871997
[2] https://support.microsoft.com/kb/2871997
[3] https://support.microsoft.com/kb/2973351
[4] https://support.microsoft.com/kb/2975625

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.