Tedarik zinciri saldırıları, modern siber güvenlik tehditleri arasında giderek daha kritik bir yer edinmektedir. Özellikle büyük ölçekli kurumsal yapılarda, üçüncü taraf hizmet ve yazılım sağlayıcıları üzerinden sistemlere sızmak, saldırganlar için oldukça etkili bir yöntemdir. Bu yazıda, “Güvensiz WSUS Yapılandırması” üzerinden gerçekleştirdiğimiz bir tedarik zinciri saldırısının detaylarını inceleyeceğiz ve bu zafiyetin risklerini gösteren bir case study paylaşacağız. Sonrasında da bu tür saldırılara karşı alınabilecek önlemleri ele alacağız.
Güvensiz WSUS Yapılandırması ile Windows Sistemlere Sızmak
Windows Server Update Services (WSUS), Microsoft tarafından sunulan ve Windows sistemlerinin merkezi bir noktadan güncellenmesini sağlayan bir hizmettir. Ancak, WSUS’un varsayılan yapılandırması güvenlik açısından ciddi zafiyetler barındırmaktadır. Bu durum saldırganların tedarik zincirine sızarak manipüle etmesine ve zararlı yazılımları güncelleme olarak yüklemelerine olanak tanıyabilir.
Vaka İncelemesi – Wsuspicious ile Tedarik Zinciri Saldırıları
Netlore Sızma Testi Ekibi olarak, müşterimizin Active Directory güvenlik yapılandırmalarını analiz ettik ve WSUS konfigürasyonunda kritik bir zafiyet tespit ettik. İşlem sırasında, zafiyeti sistematik olarak sömürerek Active Directory’yi (AD) ele geçirmeyi başardık. Aşağıda bu süreci adım adım anlatıyoruz:
- Keşif: Gri kutu sızma testleri kapsamında kurum tarafından sağlanan düşük yetkili bir Active Directory kullanıcısı ile Active Directory yapısındaki potansiyel güvenlik açıklıkları ve konfigürasyon hatalarını incelerken WSUS sunucusunun HTTP protokolü kullanacak şekilde yapılandırıldığını gördük.
- Ön Hazırlık: WSUS sunucusunun yapılandırmasını inceledik. HTTP protokolünün kullanıldığını ve güncellemelerin dijital imza doğrulaması olmaksızın dağıtıldığını tespit ettik. Bu durumda zararlı bir yazılımın yeni güncelleme gibi gösterilerek yapıdaki tüm cihazlara dağıtılabileceğini, dolayısıyla tüm Active Directory yapısının ele geçirilebileceğini gösterebilmek için kurum ile koordineli şekilde hazırlıklarımıza başladık.
- Malware Geliştirme: Kurumun kullandığı EDR çözümünden kaçacak şekilde bir Cobalt Strike beacon içeren .msi uzantılı zararlı bir yazılım hazırladık. Bu yazılım, WSUS güncelleme mekanizması üzerinden dağıtılmak üzere optimize edildi.
- Zafiyetin Sömürülmesi: Zararlı yazılımı WSUS sunucusuna entegre etmek için “Wsuspicious” adlı açık kaynak bir araç kullandık. Wsuspicious, WSUS sunucularını hedef alarak sahte güncellemeler eklemeyi kolaylaştıran bir araçtır. Bu araç sayesinde WSUS ile istemciler arasındaki HTTP trafiğini kendi kontrolümüzdeki bir proxy üzerinden yönlendirdik. Proxy, WSUS istemcilerine sahte bir güncelleme paketi sunarak zararlı yazılımı sistemlere yükledi. Windows Update istemcisi, proxy üzerinden gelen trafiği sorgusuz şekilde kabul etti ve güncelleme paketini çalıştırdı. Bunun mümkün olmasının temel sebebi, WSUS’un sertifika doğrulama mekanizmalarının eksik olması ve HSTS gibi güvenlik özelliklerinin bulunmamasıdır.
- Lateral Movement: 24 saatlik bir süre zarfında, WSUS mekanizması sayesinde zararlı yazılım AD ortamındaki neredeyse tüm istemci ve sunuculara başarıyla yüklendi. Windows Update aracılığıyla çalıştırılan zararlı yazılım, sistemlerde yönetici haklarına sahip oldu. Ele geçirilen sistemlerde bellekteki parola bilgilerini ele geçirmeye yönelik olarak güvenilir dostumuz Mimikatz aracını kullandık ve oturumlarda saklanan kimlik bilgilerini elde ettik. Domain Admin veya benzer yüksek yetkili gruplara üye olan hesaplar bu süreçte ortaya çıkarıldı.
- Tam AD Kontrolü: Domain Admin hesapları aracılığıyla Active Directory’nin tam kontrolü ele geçirildi. Bu aşamada AD üzerindeki kaynaklar ve yapılandırmalar analiz edilerek müşteriye kritik bulgular raporlandı.
Risklerin Boyutu
Bu tür bir zafiyet, yalnızca tek bir WSUS sunucusunun değil, tüm Windows altyapısının tehlikeye girmesine neden olacaktır. Saldırganlar güncelleme mekanizmasını kullanarak zararlı yazılımları kurum içindeki tüm sistemlere yayabilir. Bu da finansal kayıplardan itibar kayıplarına kadar çok ciddi olumsuz sonuçlara yol açabilir.
Önlemler ve Öneriler
WSUS gibi kritik altyapılar üzerinde yapılan yanlış yapılandırmalar, ciddi güvenlik açıklarına yol açabilir. Bu nedenle, aşağıdaki teknik ve uygulanabilir önlemlerin alınması önerilmektedir:
- HTTPS Kullanımı: WSUS sunucusunun yalnızca HTTPS protokolü üzerinden çalışacak şekilde yapılandırılması gereklidir. Bu güncellemelerin ağ üzerinden manipüle edilmesini engeller. Bunun için aşağıdaki adımları izleyebilirsiniz:
- WSUS sunucusunda SSL/TLS sertifikası yükleyin.
- IIS üzerinde HTTPS bağlantısını zorunlu hale getirin.
Import-Module WebAdministration Set-WebConfigurationProperty -filter '/system.webServer/security/access' -name sslFlags -value Ssl -PSPath 'IIS:\Sites\Default Web Site'
- İmzalı Güncellemeler: WSUS sunucusunun yalnızca dijital olarak imzalanmış güncellemeleri kabul etmesi sağlanmalıdır. Windows Update dosyaları imzalı olmalıdır ve imzasız dosyalar reddedilmelidir. Bu ayar Group Policy kullanılarak etkinleştirilebilir:
- Group Policy Management Console (GPMC) üzerinden şu ayarı aktif edin:
Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update -> Allow signed updates from an intranet Microsoft update service location
- Düzenli Güvenlik Denetimleri: WSUS yapılandırması ve genel sistem altyapısı düzenli olarak güvenlik testlerinden geçirilmelidir. Örneğin OpenVAS gibi araçlarla zafiyet taraması yapılabilir.
openvas-start omp -u admin -w password -h 127.0.0.1 -p 9390 -C
Netlore Ekibi olarak, bu süreçte kullanılan araçlar, teknikler ve adımlar tamamen kontrollü bir ortamda gerçekleştirilmiş olup, müşterinin altyapısındaki zafiyetlerin ciddiyetini göstermeyi amaçladık.
Tedarik zinciri saldırılarına karşı alınacak bu önlemler, yalnızca WSUS için değil, tüm üçüncü taraf yazılım ve hizmetler için geçerlidir. Kritik sistemlerin güvenliğini sağlamak, kurumların siber dayanıklılığını artırmak için en önemli adımlardan biridir.
