NTLM Coercion Saldırıları: Teknik Analiz ve Korunma Yöntemleri

Giriş: Active Directory Ortamlarındaki Sessiz Tehdit

Kurumsal Active Directory altyapılarında, 20 yılı aşkın bir süredir kullanılan NTLM (NT LAN Manager) kimlik doğrulama protokolü, günümüzde siber saldırganların en çok istismar ettiği vektörlerden biri haline gelmiştir. NTLM Coercion saldırıları, özellikle PetitPotam gibi tekniklerin keşfedilmesiyle birlikte, kurumsal ağlarda domain kontrolünün ele geçirilmesine yol açan kritik bir güvenlik açığı olarak öne çıkmaktadır.

Bu makalede, NTLM Coercion tekniklerini derinlemesine inceleyecek, çeşitli saldırı vektörlerini açıklayacak ve en önemli korunma yöntemi olan NTLM kimlik doğrulamasını devre dışı bırakma stratejilerini detaylı olarak ele alacağız.

NTLM Relay Saldırılarının Temelleri

NTLM Coercion tekniklerini anlamadan önce, NTLM Relay saldırılarının temellerini kavramak önemlidir. NTLM Relay, bir man-in-the-middle (MITM) saldırı türüdür ve 20 yıllık NTLMv1/2 challenge-response kimlik doğrulama protokolündeki yapısal zayıflıklardan yararlanır.

NTLM Relay Saldırısının Çalışma Mantığı

Bir NTLM Relay saldırısında, saldırgan şu adımları gerçekleştirir:

1. Müdahale: Saldırgan, bir istemciden gelen kimlik doğrulama talebini yakalar
2. Yönlendirme: Bu kimlik doğrulama materyalini hedef servise iletir
3. Kimliğe Bürünme: Hedef servis, saldırganı orijinal istemci olarak doğrular ve yetkilendirir

Geleneksel olarak, pasif protokol zehirleme teknikleri (LLMNR, NBT-NS, mDNS gibi) bu saldırıların başlatılması için kullanılıyordu. Ancak NTLM Coercion teknikleri, saldırganların aktif olarak hedef sistemleri kimlik doğrulamaya zorlayabilmesini sağlayarak, saldırı yüzeyini önemli ölçüde genişletmiştir.

NTLM Coercion Teknikleri: Detaylı İnceleme

NTLM Coercion, uzak bir sistemin (genellikle bir sunucu veya Domain Controller) saldırganın kontrol ettiği bir makineye NTLM kimlik doğrulaması başlatmaya zorlanması işlemidir. Bu teknikler, Windows RPC (Remote Procedure Call) protokollerindeki çeşitli özellikleri ve zafiyetleri istismar eder.

1. PrinterBug (MS-RPRN) - Başlangıç Noktası

2018 yılında araştırmacı Lee Christensen (@tifkin_) ve SpectreOps ekibi tarafından keşfedilen PrinterBug, NTLM Coercion hype'ının başlangıç noktası oldu. Bu teknik, MS-RPRN (Print System Remote Protocol) protokolünü istismar eder.

Teknik Detaylar:

• Protokol: MS-RPRN (Print Spooler Service)
• Kimlik Doğrulama Gereksinimi: Evet (domain kullanıcı hesabı gereklidir)
• Hedef: Print Spooler servisi çalışan herhangi bir Windows sunucusu
• Etki: Hedef sunucunun makine hesabı kimlik bilgileriyle saldırgan kontrolündeki bir sunucuya NTLMv2 kimlik doğrulaması başlatılır

Microsoft bu sorunu "tasarım gereği" olarak değerlendirdi ve protokolün bir özelliği olarak kabul etti. Bu yaklaşım, daha sonraki Coercion tekniklerinin keşfine de ilham kaynağı oldu.

2. PetitPotam (MS-EFSRPC) - Oyunun Kurallarını Değiştiren Keşif

2021 yılında araştırmacı Giles Lionel (@topotam) tarafından yayınlanan PetitPotam, NTLM Coercion saldırılarını yeni bir seviyeye taşıdı. MS-EFSRPC (Encrypting File System Remote Protocol) protokolündeki zafiyetleri istismar eden bu teknik, hem kimlik doğrulamalı hem de kimlik doğrulamasız saldırı yöntemleri sunuyordu.

Kritik Özellikler:

• Protokol: MS-EFSRPC
• Kimlik Doğrulamasız Yöntemler: CVE-2021-36942 ve CVE-2022-26925
• En Büyük Tehdit: Domain Controller'lar varsayılan yapılandırmada kimlik doğrulamasız saldırılara karşı savunmasızdı
• Etki Seviyesi: Kritik - Tam domain ele geçirme potansiyeli

PetitPotam'ın kimlik doğrulamasız varyantı, hiçbir domain kimlik bilgisine sahip olmayan bir saldırganın Domain Controller'ı kendi relay sunucusuna bağlanmaya zorlayabilmesini sağladı. Bu, kurumsal güvenlik için devasa bir risk oluşturuyordu.

3. Diğer Önemli Coercion Teknikleri

PrinterBug ve PetitPotam'ın ardından, araştırmacılar diğer RPC protokollerinde de benzer zafiyetler keşfetti:

Teknik	Protokol	Araştırmacı	Kimlik Doğrulamalı	Kimlik Doğrulamasız
ShadowCoerce	MS-FSRVP	Giles Lionel & Charlie Bromberg	Evet	CVE-2022-30154
DFSCoerce	MS-DFSNM	Filip Dragović	Evet	Hayır
CheeseOunce	MS-EVEN	@evilash	Evet	Hayır

Bu tekniklerin her biri, Windows altyapısında farklı bir RPC protokolünü hedef alır ve saldırganlara çeşitli seçenekler sunar.

Saldırı Vektörleri ve Etki Alanları

NTLM Coercion teknikleri tek başına zararlı değildir; asıl tehlike, bu tekniklerin NTLM Relay saldırılarında kaynak kimlik doğrulama materyali sağlamak için kullanılmasıdır. En kritik hedef noktalar şunlardır:

ADCS (Active Directory Certificate Services) - En Büyük Tehdit

PetitPotam ilk yayınlandığında, Microsoft'un yayınladığı risk azaltma tavsiyeleri ADCS'ye yönelik relay saldırılarını engellemeye odaklanıyordu. Bunun nedeni, 2021'de SpectreOps tarafından yayınlanan "Certified Pre-Owned" white paper'ında belgelenen ESC8 zafiyetidir.

ESC8 Zafiyeti Nedir?

ESC8, ADCS HTTP enrollment endpoint'lerinin NTLM Relay saldırılarına karşı savunmasız olduğunu tanımlayan bir zafiyet kategorisidir. Saldırı senaryosu şöyle işler:

1. Coercion: Saldırgan PetitPotam (veya başka bir teknik) kullanarak Domain Controller'ı kendi relay sunucusuna bağlanmaya zorlar
2. Relay: Domain Controller'ın NTLM kimlik doğrulaması, savunmasız ADCS HTTP endpoint'ine relay edilir
3. Sertifika Talebi: ADCS, Domain Controller olarak kimlik doğrulanan saldırgana PKI sertifikası verir
4. Domain Ele Geçirme: Saldırgan bu sertifikayı kullanarak Domain Controller olarak kimlik doğrular ve DCSync veya RBCD saldırıları gerçekleştirir

Kritik Not: PKI sertifikaları son derece değerli kimlik bilgileridir çünkü çok kalıcıdırlar. Bir kullanıcı parolasını değiştirse bile, sertifika geçerliliğini korur ve erişim sağlamaya devam eder.

Diğer NTLM Relay Hedefleri

ADCS dışında, NTLM Relay saldırılarının hedef alabileceği diğer servisler:

• SMB Signing devre dışı olan sistemler: Dosya paylaşımlarına ve yönetim araçlarına erişim
• LDAP Signing zorlanmayan Domain Controller'lar: LDAP üzerinden domain nesnelerinde değişiklik yapma
• HTTP/HTTPS servisleri: Web tabanlı yönetim panelleri ve API'ler
• SQL Server: Veritabanı erişimi ve kod çalıştırma

Korunma Stratejileri: Katmanlı Güvenlik Yaklaşımı

NTLM Coercion saldırılarına karşı korunma, saldırı zincirinin çeşitli noktalarında risk azaltma gerektirir. Ancak, en etkili ve kalıcı çözüm, NTLM kimlik doğrulamasını tamamen devre dışı bırakmaktır.

1. En Kritik Adım: NTLM Kimlik Doğrulamasını Devre Dışı Bırakma

NTLM, eski bir protokoldür ve modern Kerberos kimlik doğrulamasının sunduğu güvenlik özelliklerinden yoksundur. Kurumsal ortamlarda NTLM'yi tamamen devre dışı bırakmak, NTLM Coercion ve Relay saldırılarını kökten çözer.

NTLM'yi Devre Dışı Bırakma Adımları:

Aşama 1: Denetim ve Keşif

• Event ID 8004 kullanarak NTLM kullanımını izleyin
• Hangi sistemlerin ve uygulamaların NTLM'ye bağımlı olduğunu belirleyin
• NTLM trafiğini kaydedin ve analiz edin

Aşama 2: Kerberos'a Geçiş

• Tüm sistemlerin ve uygulamaların Kerberos'u desteklediğinden emin olun
• SPN (Service Principal Name) yapılandırmalarını gözden geçirin
• Eski uygulamaları güncelleyin veya değiştirin

Aşama 3: Kademeli Devre Dışı Bırakma

• Group Policy ile NTLM'yi önce denetim moduna alın: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → Network security: Restrict NTLM: Audit NTLM authentication in this domain
• Sonuçları analiz edin ve gerekli düzenlemeleri yapın
• Kademeli olarak NTLM'yi devre dışı bırakın: Network security: Restrict NTLM: NTLM authentication in this domain = Deny all

Önemli: NTLM'yi devre dışı bırakmak, uyumluluk sorunlarına neden olabilir. Bu nedenle kapsamlı bir test süreci ve kademeli bir yaklaşım kritik öneme sahiptir.

2. Coercion Tekniklerine Özgü Risk Azaltma

PetitPotam ve Diğer Kimlik Doğrulamasız Saldırılar:

• Yamalar: CVE-2021-36942 ve CVE-2022-26925 için Microsoft güvenlik yamalarını derhal uygulayın
• EFS Devre Dışı: Kullanılmıyorsa Encrypting File System'i devre dışı bırakın

PrinterBug:

• Gereksiz sistemlerde Print Spooler servisini durdurun ve devre dışı bırakın
• Domain Controller'larda özellikle kritiktir:

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

DFSCoerce, ShadowCoerce ve Diğerleri:

• Gerekli değilse ilgili servisleri devre dışı bırakın
• RPC filtreleri uygulayarak belirli protokollere erişimi kısıtlayın

3. ADCS Güvenliğini Sağlama (ESC8 Risk Azaltma)

ADCS HTTP enrollment endpoint'lerini korumak için:

• EPA (Extended Protection for Authentication) Etkinleştirme: Channel binding ile NTLM Relay saldırılarını engelleyin
• HTTPS Zorunlu Hale Getirme: HTTP endpoint'lerini kapatın, sadece HTTPS kullanın
• Certificate Enrollment Policy (CEP) ve Certificate Enrollment Service (CES) Güçlendirme

Registry değişiklikleri ile EPA'yı etkinleştirme:

reg add "HKLM\System\CurrentControlSet\Services\HTTP\Parameters" /v EnableCertificateBinding /t REG_DWORD /d 1 /f

4. Ağ Segmentasyonu ve Erişim Kontrolü

• Tier Model: Microsoft'un privileged access workstation (PAW) modelini uygulayın
• Firewall Kuralları: Domain Controller'lar ve kritik sunucular arasında gereksiz RPC trafiğini engelleyin
• SMB Signing: Tüm sistemlerde SMB signing'i zorunlu hale getirin
• LDAP Signing: Domain Controller'larda LDAP signing ve channel binding'i etkinleştirin

5. Kimlik Bilgisi Hijyeni

• Privileged hesapların düşük güvenlikli sistemlere logon olmasını engelleyin
• LAPS (Local Administrator Password Solution) kullanarak local admin parolalarını yönetin
• Credential Guard ve Remote Credential Guard'ı etkinleştirin

Tespit ve Monitoring: Saldırıları Erken Yakalama

NTLM Coercion ve Relay saldırılarını tespit etmek için şu noktalara odaklanın:

Event Log Monitoring

• Event ID 5145: Beklenmeyen RPC bağlantıları (özellikle EFSRPC, RPRN)
• Event ID 4768/4769: Anormal Kerberos ticket talepleri
• Event ID 4776: NTLM kimlik doğrulama denemeleri
• ADCS Logs: Beklenmeyen sertifika talepleri

Network Anomaly Detection

• Domain Controller'lardan başlatılan beklenmeyen outbound bağlantılar
• Sunucular arası anormal SMB ve HTTP trafiği
• Yüksek hacimli NTLM kimlik doğrulama talepleri

EDR/XDR Çözümleri

Modern güvenlik platformları şunları tespit edebilmelidir:

• PetitPotam ve benzeri araçların çalıştırılması
• ntlmrelayx gibi relay araçlarının kullanımı
• Anormal sertifika kullanımı ve DCSync aktivitesi

Sonuç: Proaktif Güvenlik Anlayışı

NTLM Coercion saldırıları, modern kurumsal ağlarda ciddi bir tehdit oluşturmaktadır. PetitPotam'ın kimlik doğrulamasız varyantının, hiçbir kimlik bilgisi olmayan bir saldırganın tam domain kontrolü elde etmesine olanak sağlayabilmesi, bu tehdidi özellikle kritik kılmaktadır.

En etkili korunma stratejisi, NTLM kimlik doğrulamasını tamamen devre dışı bırakmak ve Kerberos'a geçiş yapmaktır. Bu, hem NTLM Coercion hem de NTLM Relay saldırılarını kökten çözer. Ancak bu geçiş, dikkatli planlama ve kademeli bir uygulama gerektirir.

Temel Öneriler:

1. Acil: Tüm güvenlik yamalarını uygulayın (özellikle PetitPotam CVE'leri)
2. Kısa Vadeli: ADCS HTTP endpoint'lerini güçlendirin, Print Spooler'ı gereksiz sistemlerde kapatın
3. Orta Vadeli: SMB ve LDAP signing'i zorunlu hale getirin, ağ segmentasyonu uygulayın
4. Uzun Vadeli: NTLM'den Kerberos'a tam geçiş planı oluşturun ve uygulayın
5. Sürekli: Monitoring ve threat hunting yeteneklerinizi geliştirin

Active Directory güvenliği, sürekli dikkat ve güncel tehdit bilgisi gerektiren bir alandır. NTLM Coercion teknikleri evrim geçirmeye devam edecektir, bu nedenle savunma stratejilerinizi de sürekli güncel tutmanız kritik öneme sahiptir.

Kurumsal altyapınızın NTLM Coercion ve diğer Active Directory saldırılarına karşı dayanıklılığını test etmek ister misiniz? Netlore Security olarak, kapsamlı Active Directory güvenlik değerlendirmeleri ve sızma testleri sunuyoruz. Uzman ekibimizle iletişime geçin.