Microsoft, bellek üzerinden parolaların açık halinin elde edilmesini önlemek için 13 Mayıs 2014 tarihinde 2871997 numaralı en önemli ilk güncelleme bültenini yayınlamıştır [1]. Bu güncelleştirme paketi [2] Windows 8, Windows RT, Windows Server 2012, Windows 7 ve Windows Server 2008 R2 işletim sistemlerindeki kimlik hırsızlığını azaltmak için hazırlanmıştır. Bu yama sonrasında, Microsoft tarafından, 2973351 [3] ve 2975625 [4] güncelleştirmeleri de yayınlanmıştır.
Microsoft tarafından yayınlanan bu yamalardan sonra, Benjamin Delpy tarafından da Mimikatz’in 2.0 versiyonu yayınlanmıştır. Bu yazıda gerçekleştirilecek inceleme sırasında işletim sistemi sürümü ve mimarisi, yamanın geçilme durumu, kullanılan Mimikatz sürümü (1.0 ve 2.0), birbirinden farklı olan etki alanı ortamları kriterleri temel alınmıştır. İnceleme kriterleri şu şekildedir:
- İşletim Sistemi Sürümü: Windows 7 Enterprise, Windows 8 Enterprise, Windows 2008 R2 Enterprise, Windows 2012 Data Center
- İşletim Sistemi Mimarisi: 64 bit, 32 bit
- Güncelleme Durumu: Yaması gerçekleştirilmemiş, Yaması gerçekleştirilmiş
- Mimikatz Sürümü: 1.0 ve 2.0
- Etki Alanı: WORKGROUP ve Ornek.local
- Kullanıcı: Yerel bir yönetici kullanıcısı (WORKGROUP\Yonetici), etki alanında yönetici olan bir kullanıcı (ORNEK\DomainAdmin)
İnceleme temel olarak iki adımdan oluşmaktadır. İlk adımda yaması yapılmamış işletim sisteminde Mimikatz 1.0 ve 2.0 araçları kullanılmış ve parolaların elde edilip edilmediği sonucu not edilmiştir. İkinci adımda ise, Microsoft tarafından yayınlanan yama gerçekleştirilmiş olan işletim sisteminde Mimikatz 1.0 ve 2.0 araçları kullanılmış ve parolaların elde edilip edilmediği sonucu not edilmiştir.
İlk adımda; Microsoft tarafından hazırlanan yamaları yapılmamış olan “W7-Pro-SP1-x64-15GB” adındaki bir bilgisayarda “Yonetici” adlı bir yerel yönetici kullanıcısı ile oturum açılmıştır. Bu bilgisayardan, “W7-Ent-x86-15GB” adlı bilgisayara da “UzakYonetici” adlı bir yerel yönetici kullanıcısı ile RDP yoluyla bağlantı kurulmuştur. Bu durumdayken Mimikatz aracı kullanıldığında aşağıdaki gibi ekran görüntüleri elde edilmiştir.
İlk ekran görüntüsü eski sürüm Mimikatz ile, ikinci ekran görüntüsü ise yeni sürüm Mimikatz ile elde edilmiştir:


Sonuç olarak, ekran görüntüsünde de görüldüğü gibi, kimlik bilgileri 5 adet güvenlik destek sağlayıcısı (Security Support Provider – SSP) tarafından elde edilebilmiştir. “Yonetici” kullanıcısına ait parola “Aa123456” olarak elde edilmiş iken, “UzakYonetici” kullanıcısına ait parola ise “Bb123456” olarak elde edilmiştir.
İkinci adımın gerçekleştirilmesi için ilgili güncelleme paketi indirilerek işletim sistemi yaması gerçekleştirilmiştir.

İkinci adımda ise, yama işlemi sonrasında ilk adımdaki durumlar (oturum açılması ve RDP gerçekleştirilmesi) sağlandıktan sonra, Mimikatz 1.0 ve 2.0 sürümlerinin çalıştırılmasına ait ekran görüntüleri aşağıdaki gibidir:


Microsoft tarafından gerçekleştirilen güncelleme sonrasında WCE kaynak kodunda herhangi bir geliştirme gerçekleştirilmemiştir. Eski sürüm WCE ve son sürüm WCE aracıyla gerçekleştirilen incelemelerin sonucu aşağıdaki gibidir.


Ekran görüntülerinde de görüldüğü gibi, Microsoft yamasının öncesinde ve sonrasında WCE aracıyla parolalar elde edilebilmektedir. Ancak RDP yapılan bilgisayara bağlantı bilgileri WCE aracıyla elde edilememektedir.
Sonuç
Gerçekleştirilen incelemeler sonucunda aşağıdaki gibi bir tablo elde edilmiştir:

Not: Yaması yapılmış Windows Server 2012 Data Center’da msv1_0 üzerinden parola özeti elde edilememektedir. Ancak genelleme bozulmaması için bu durum ihmal edilmiştir. Ayrıca, yaması geçilmiş bu işletim sisteminde WCE aracı düzgün olarak çalışmamaktadır.
Sonuçlardan da görüldüğü gibi, 2871997 ve sonraki 2 yama kimlik bilgisi hırsızlığını azaltmıştır. Ancak, parolalar wdigest ve ssp adlı sağlayıcılar üzerinden açık, msv1_0 üzerinden ise özet olarak elde edilebilmektedir.
Kaynaklar:
[1] https://technet.microsoft.com/library/security/2871997
[2] https://support.microsoft.com/kb/2871997
[3] https://support.microsoft.com/kb/2973351
[4] https://support.microsoft.com/kb/2975625