Windows 11’in tanıtılması ile birlikte kullanıcılarının ilgi odağı haline gelen Microsoft, bu kez yeni bir güvenlik açığı ile gündemde. Geçtiğimiz günlerde ortaya çıkan bir habere göre Windows 10 ve 11 kullanıcıları, kayıt defterleri için bir tehdit oluşturan güvenlik açığı ile karşı karşıya.
Microsoft tarafından henüz bir güvenlik yaması yayınlanmayan güvenlik açığı SeriousSAM olarak adlandırılıyor. Bu açık düşük düzeyde izinlere sahip kötü niyetli kişilerin, “Pass-the-Hash” saldırısı gerçekleştirmek için Windows dosyalarına erişmesine olanak sağlıyor.
SeriousSAM açığı CVE-2021-36934 izleme koduna sahip
Açıktan faydalanan saldırganlar, Güvenlik Hesabı Yöneticisi (SAM) ve Kayıt Defteri‘nde depolanan parolaları elde edebiliyorlar. Buna göre kötü niyetli kişiler edindikleri SYSTEM ayrıcalıklarıyla sistemde rastgele kod çalıştırabilir hale geliyorlar.
Windows 10 ve 11’in varsayılan ayarlarında yer alan SeriousSAM açığı CVE-2021-36934 izleme koduna sahip. Açığın tüm “Home Edition” kullanıcı grubunda bulunan “okuma” izinlerinde gerçekleşen bir ayar nedeniyle oluştuğu belirtiliyor.
Ortaya çıkan bu açıktan elde edilen sonuca göre kötü niyetli kişiler, “Kullanıcı” erişimi olmadan Kayıt Defterine veya SAM’e erişim elde edebiliyor. Ayrıca bu yerlere erişim için Mimikatz gibi araçların kullanıldığı belirtiliyor. Bu araçlar kayıt defterlerini çalabiliyor ve bunları şifreleyebiliyor.
Kullanıcıların etki alanını bu şekilde ele geçirmenin saldırganlara ağ üzerinde yüksek ayrıcalıklar vereceği düşünülüyor.
SeriousSAM güvenlik açığının etkileri nasıl azaltılır?
BT ve siber güvenlik alanında hizmet veren CalCom Yazılım’ın CTO’su Dvir Goren, bu açıktan korunmak için üç farklı yöntem sunuyor.
İlk olarak yerleşik kullanıcılar grubundan tüm kullanıcıların silinmesi gerektiğini vurgulayan CTO, bu adımın başlangıç olarak iyi olduğunu belirtiyor. Ancak yönetici kimlik bilgilerinin çalınması durumunda yapılan hamlenin koruyucu olmayacağını belirtiyor.
İkinci olarak SAM dosyalarını ve kayıt izinlerinin kısıtlanmasını öneren Goren, sisteminizde yalnızca yöneticiler için erişime izin vermenizi ifade ediyor. CTO, bu adımın da sorunun yalnızca bir kısmını çözeceğini ifade ediyor. Dvir Goren, son olarak ise ağ kimlik doğrulaması içi parolaların ve kimlik bilgilerinin saklanmasına izin verilmemesi gerektiğini açıklıyor.
Bu adımın CIS karşılaştırmalarında da önerildiğini ekleyen Goren, SAM‘de ve kayıt defterinde depolanan bir şey olmayacağından güvenlik açığı riskini tamamen azaltacağını öne sürüyor.
{{user}} {{datetime}}
{{text}}