MS14-068 Kerberos Güvenlik Açıklığı ile Hak Yükseltme Zafiyetine Karşı Alınabilecek Önlemler

Microsoft tarafından “Vulnerability in Kerberos Could Allow Elevation of Privilege (3011780)” adlı güvenlik bülteni 18 Kasım 2014 tarihinde yayınlanmıştı. Bu yazıda, MS14-068 hak yükseltme zafiyetine karşı gerçekleştirilebilecek önlemler incelenecektir.

MS14-068 hak yükseltme zafiyetine karşı alınabilecek en uygulanabilir yöntem yama yönetiminin gerçekleştirilmesidir. Etki alanı denetleyicisi (DC) rolündeki tüm bilgisayarların (DCPROMO çalıştırılmadan önce) güncel olması – en azından KB3011780 güncelleme paketinin yüklü olması – tavsiye edilmektedir. KB3011780 güncelleme paketi yüklendikten sonra, saldırının gerçekleşemediği görülmektedir. Bunun yanında, etki alanı sunucusu (DC) olarak kullanılmayan diğer sunucular MS14-068 zafiyetinden etkilenmiyor olsa da, bu zafiyeti barındıran tüm sunucuların güncelleştirilmesi faydalı olacaktır.

MS14-068 zafiyetinden korunma yöntemlerinden birisi de, güncelleştirme işlemi sonrasındaki sunucuda (veya sunucularda), etki alanını (veya ormanı) baştan kurmaktır. Her ne kadar uygulanabilirliği zor olsa da, bu şekilde bir operasyonun gerçekleştirilmesinin daha daha etkin olduğu belirtilmektedir.

KB3011780 güncelleme paketi yüklendikten sonra, etki alanı denetleyicileri (DC) üzerindeki 4769 numaralı olay kaydı (event) için hata (Failure) kod değeri 0xf olarak gözükenler doğrulama işlemi sırasında hata alınan taleplerdir. Bu güncelleştirme öncesinde bu şekilde bir kontrol gerçekleşmemekte ve Audit Success olarak gözükmektedir. Bu sebeple, güncelleştirme işleminden sonra 4769 olay kaydı hatalı olan taleplerin izlenmesi, muhtemel saldırıların tespiti için önem arzetmektedir.

Snort IDS üzerinden AS_REQ ve TGS_REQ trafiğinde “Include-PAC: False” içeren paketlerin tespit edilmesi de önerilmektedir.