CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

AD CS Zafiyetleri: Sertifika Güvenliği İçin İzleme ve Koruma Stratejileri

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

AD CS zafiyetlerini keşfedin. Sertifika güvenliğinizi artırmak için izleme ve korunma stratejileri hakkında bilgi edinin.

AD CS Zafiyetleri: Sertifika Güvenliği İçin İzleme ve Koruma Stratejileri

Active Directory Certificate Services (AD CS) zafiyetlerini anlamak ve koruma yöntemleri üzerine kapsamlı bir inceleme. Sertifika güvenliğinizi nasıl artırabilirsiniz?

Giriş ve Konumlandırma

Active Directory Certificate Services (AD CS), açık anahtar altyapısından (PKI) yararlanarak dijital sertifikaların oluşturulmasını ve yönetilmesini sağlayan bir Windows sunucu rolüdür. Sertifikalar, güvenli bir iletişim sağlamak ve kimlik doğrulama işlemlerinde kullanılmak üzere tasarlanmıştır. Ancak, AD CS üzerinde keşfedilen zafiyetler, bu sertifikaların güvenliğini ciddi şekilde tehdit etmektedir. Bu bağlamda, AD CS zafiyetleri ve bu zafiyetlere karşı izleme ve koruma stratejileri, siber güvenlik pratiğinde önemli bir alan olarak karşımıza çıkmaktadır.

AD CS'nin Önemi

Sertifika güvenliği, siber güvenliğin temel unsurlarından biridir. AD CS, birçok kuruluşun güvenlik altyapısının bir parçası olarak, dijital sertifikalarla güvenli ağ iletişimi ve kimlik doğrulama işlemlerini mümkün kılar. Ancak, AD CS üzerinde ortaya çıkan zafiyetler, bu güvenliğin ihlali anlamına gelebilir. Örneğin, ESC1 adı verilen bir zafiyet, saldırganların sertifika talebi sırasında "Subject Alternative Name" (SAN) bilgisini kendilerinin belirlemesine olanak tanır. Bu da, kötü niyetli bir kullanıcının, yönetici yetkilerine sahip bir sertifika elde etmesine neden olabilir.

Zafiyetlerin Genel Etkisi

AD CS’deki zafiyetler, siber güvenlik açısından önemli tehditleri beraberinde getirir. Özellikle ESC8 gibi saldırı türleri, HTTP tabanlı sertifika kayıt arayüzüne yönelik NTLM Relay saldırıları ile birleştiğinde, dinleyicilerin veri akışını ele geçirmesine olanak tanıyabilir. Bu gibi güvenlik açıkları, hem iç hem de dış tehditleri tetikleyecek şekilde sisteme sızma yolları sağlar ve kuruluşların savunma mekanizmalarını aşmalarına imkan tanır. Bunun sonucunda, siber saldırganlar, kuruluşların hassas verilerine ve ağlarının yönetimsel işleyişine erişim sağlayarak kritik zararlar verebilirler.

Teknik Çerçeve

Bu yazıda, AD CS zafiyetlerinin teknik detaylarını gözden geçireceğiz. Sertifika şablonları, saldırı senaryoları ve kullanılan araçlar gibi konulara derinlemesine dalış yaparak, okuyuculara AD CS ile ilgili stratejik bilgiler sunacağız. Sertifika şablonları (Certificate Templates), AD CS'nin yapı taşlarını oluşturur ve bu şablonlardaki yanlış yapılandırmalar, güvenlik açıklarının doğmasına neden olabilir. Örneğin; "ENROLLEE_SUPPLIES_SUBJECT" gibi ayarlar, kötü niyetli kullanıcıların sisteme zarar vermesine yol açabilir.

İzleme ve Olay Günlükleri

Siber güvenlikte izleme, potansiyel tehditlerin erken tespit edilmesi açısından kritik bir rol oynar. AD CS üzerindeki şüpheli işlemleri yakalamak için olay günlüklerine (Event Logs) erişim sağlamak, zafiyetlerin belirlenmesi açısından hayati öneme sahiptir. Örneğin, Event ID 4886, sertifika isteği alındığını; Event ID 4887 ise sertifikanın başarıyla yayınlandığını bildirir. Bu tür kayıtlar, istenmeyen veya yetkisiz sertifika taleplerinin tespit edilmesine imkan tanır.

Koruma Stratejileri

AD CS zafiyetlerine karşı korunmak için, belirli iyileştirme adımlarının atılması gerekmektedir. Sertifika şablonlarında "Supply Subject" özelliğinin kapatılması, saldırganların belirli bir kullanıcı adına sertifika almasını engelleyebilir. Ek olarak, web kayıt servislerinde Extended Protection for Authentication (EPA) özelliğinin etkinleştirilmesi, NTLM Relay saldırılarını azaltabilir. Bu gibi savunma adımları, kuruluşların sertifika güvenliğini artırmak ve potansiyel zafiyetlerden kaynaklanan tehditlere karşı hazırlıklı olmak anlamında önemlidir.

Sonuç olarak, AD CS zafiyetleri, siber güvenlik alanında göz ardı edilmemesi gereken bir konudur. Bu yazı dizisi, okuyuculara bu alandaki zafiyetler ve buna karşı geliştirilebilecek koruma stratejileri hakkında detaylı bilgi sunmayı amaçlamaktadır. Okuyucuların teknik bilgi seviyelerini artırarak, bu zafiyetler ile ilgili somut çözümleri uygulamaya geçirmeleri hedeflenmektedir.

Teknik Analiz ve Uygulama

AD CS Nedir?

Active Directory Certificate Services (AD CS), kuruluşların açık anahtar altyapısını yönetmelerine olanak tanıyan bir Windows sunucu rolüdür. AD CS, dijital sertifikaların oluşturulması, dağıtılması ve yönetilmesine olanak sağlayarak güvenli iletişim ve kimlik doğrulama süreçlerini destekler. Bunun yanı sıra, sertifika tabanlı güvenlik politikalarının uygulamasına yardımcı olur.

Sertifika Şablonları (Certificate Templates)

Sertifika şablonları, AD CS'de sertifikaların özelliklerini ve kullanım amacını belirleyen yapılandırmalardır. Bu şablonlar, hangi kullanıcı ve grupların belirli bir sertifikayı talep edebileceğini ve sertifikanın hangi amaçlarla kullanılabileceğini tanımlar. Örneğin, bir sertifika şablonunun "EKU (Extended Key Usage)" alanı, sertifikanın istemci kimlik doğrulama amacıyla kullanılacağını belirtir.

ESC1 Saldırı Senaryosu

ESC1 (Enrollment with Subject Alternative Name), AD CS'deki en yaygın zafiyetlerden biridir. Bu zafiyet, kullanıcıların sertifika talep ederken "Subject Alternative Name" (SAN) alanını özelleştirebilmelerine izin verir. Saldırganlar, bu zafiyeti kullanarak kimlik doğrulama için sahte sertifikalar elde edebilirler.

ENROLLEE_SUPPLIES_SUBJECT

Bu özellik, saldırganların yönetici adına sertifika alabilmesini sağlayan tehlikeli bir ayardır. Şablon üzerinde istek sahibinin farklı bir isim belirtmesine izin verilirse, bir saldırgan, örneğin bir sunucudan gelen NTLM isteğini AD CS web arayüzüne yönlendirerek o sunucu adına sertifika üretebilir. Bu tür saldırılar genellikle sistemin bütünlüğünü tehdit eder.

# Bu özellik için şablon ayarını kontrol etme
Get-CertificateTemplate -Name "YourTemplateName" | Select-Object -ExpandProperty SubjectName

Saldırı Türleri: ESC Serisi

AD CS üzerindeki zafiyetlerin birçoğu, "ESC" (Enrollment Saldırı Senaryoları) adını taşır. ESC1 dışında, erişim yetkisi olanların kötüye kullanımına yol açan ESC4 ve NTLM Relay saldırısı fırsatı sunan ESC8 gibi senaryolar da mevcuttur.

ESC8 ve NTLM Relay

ESC8, HTTP tabanlı sertifika kayıt arayüzüne (Web Enrollment) yönelik bir NTLM Relay saldırısıdır. Bu saldırıda saldırgan, NTLM kimlik bilgileri ile oturum açarak hedef sistemde yetkilendirilmiş bir kullanıcı adına sertifika talebinde bulunabilir.

Burada izlenmesi gereken önemli bir adım, Extended Protection for Authentication (EPA) özelliğini aktif etmektir. Bu özellik, saldırganların geçerli kimlik bilgileri ile sistemi istismar etmesini önlemeye yardımcı olur.

# EPA ayarını kontrol etmek için gereken komut
Get-WebConfiguration -Filter '/system.webServer/security/authentication/windowsAuthentication' | Select-Object -ExpandProperty extendedProtectionMode

Kullanılan Araçlar: Certipy ve Certify

AD CS zafiyetlerini taramak ve sömürmek için en yaygın araçlardan biri Certipy’dir. Python tabanlı bu araç, kullanıcıların AD CS ile ilişkili zafiyetleri keşfetmesine ve bu zafiyetlerden yararlanmasına olanak tanır. Aşağıda, Certipy’nin kullanımına dair örnek bir komut verilmiştir:

# Certipy ile sertifika talepleri oluşturma
certipy request -u "username" -p "password" -t "template_name" -s "SubjectName"

Sertifika ile Kimlik Doğrulama

Dijital sertifikalar, kimlik doğrulama süreçlerinde kritik bir rol oynamaktadır. Bir sertifika ile kimlik doğrulama, sertifikaya bağlı bir özel anahtarın güvenliği açısından son derecede önemlidir. Bu nedenle, sertifika işlemlerinin düzenli olarak izlenmesi ve kaydedilmesi gerekmektedir.

İzleme ve Olay Günlükleri (Events)

AD CS'de yapılan her sertifika talebi, olay günlüklerine kaydedilir. Olay günlükleri, şüpheli sertifika işlemlerinin tespit edilmesi için kritik öneme sahiptir. Örneğin, Event ID 4886 bir sertifika isteğinin geldiğini, 4887 ise sertifikanın başarıyla yayınlandığını bildirir. Bu kayıtların düzenli olarak gözden geçirilmesi, sistemin güvenliğini sağlamada önemli bir adımdır.

Korunma ve Sıkılaştırma

Koruma ve sıkılaştırma stratejileri, AD CS'yi daha güvenli hale getirmenin anahtarıdır. Sertifika şablonlarındaki "Supply Subject" özelliğini kapatmak ve Web Enrollment'da EPA özelliğini aktif etmek gibi adımlar, AD CS üzerindeki potansiyel saldırılara karşı koruma sağlamaktadır. Ayrıca, düzenli güvenlik güncellemeleri ve izleme politikalarının uygulanması da sistemin güvenliği için temel oluşturmaktadır.

Sonuç olarak, AD CS zafiyetleri ile başa çıkmak, yalnızca teknolojik çözümlerle mümkün değildir; aynı zamanda süreçlerin ve politikaların titizlikle uygulanması gerekmektedir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, Active Directory Certificate Services (AD CS) zafiyetleri, sertifika güvenliği açısından ciddi riskler taşımaktadır. Bu zafiyetler, yanlış yapılandırmalar ve mevcut saldırı senaryoları üzerinden istismar edilebilir. Bu bölümde, AD CS zafiyetlerinin yarattığı risklerin anlaşılması, yapılandırma hatalarının etkileri, veri sızıntısı ve savunma stratejileri üzerinde durulacaktır.

Risk Analizi

AD CS, verilen yetki ve kurallar çerçevesinde dijital sertifikalar oluşturarak kimlik doğrulama süreçlerine hizmet eden bir bileşendir. Ancak, bu sistemdeki zafiyetler saldırganlara belirli avantajlar sağlıyor:

  1. ESC1 Zafiyeti: Sertifika şablonlarında "Subject Alternative Name" (SAN) adı verilen bir alanın isteğe bağlı olarak kullanıcı tarafından belirlenmesine olanak tanıyan bu zafiyet, saldırganların kendilerini meşru kullanıcılar olarak göstermesini sağlar.

    Ortaya çıkan sorun, doğru yapılandırılmadığında, düşük yetkili bir kullanıcının, yönetici kimliği gerektiren sertifikalar alabilmesi ile sonuçlanabilir.

  2. NTLM Relay Saldırıları: ESC8 gibi saldırı senaryoları, HTTP tabanlı sertifika kayıt arayüzünden yararlanarak, geçerli kimlik bilgilerini çalan bir tehdit aktörü tarafından gerçekleştirilebilir. Burada, saldırgan bir sunucu üzerinden sertifika talep etmek için NTLM isteklerini yeniden iletebilir.

    Bu tür bir saldırı, AD CS web arayüzünün zafiyetlerini hedef alarak, kimlik doğrulama sürecindeki güvenlik açıklarını suistimal etmek için idealdir.

Yapılandırma Hataları

Yanlış yapılandırmalar, güvenlik açıklarını artırarak siber saldırılara kapı aralamaktadır. Sertifika şablonlarındaki yanlış ayarlar şunları içerir:

  • Enrollment Rights: Sertifika şablonlarında hangi kullanıcıların veya grupların yetkilendirileceği doğru bir biçimde tanımlanmadığında, yetkisiz kişiler sertifika talep edebilir.

  • Manager Approval: Yönetici onayı gerekliliği kaldırıldığında, sahte sertifika talepleri geçerli hale gelebilir. Bu da zafiyetin daha da derinleşmesine yol açar.

Sistem yöneticilerinin, bu tür hataların farkında olup olmadığını değerlendirmesi hayati önem taşır. Yanlış yapılandırmalar, yabancı kullanıcıların, hassas hizmetlere erişmesine olanak tanıyabilir.

İzleme ve Olay Günlükleri

Sertifika güvenliğini sağlamak adına etkin bir izleme mekanizması oluşturmak esastır. AD CS kazançlı siber saldırılara karşı yeterli bir gözlem ve takip sistemi gerektirir. Aşağıdaki olay günlükleri, potansiyel tehditleri tespit etmek için izlenmelidir:

  • Event ID 4886: Sertifika isteği geldiğinde sistemin kayıtlı bildirimidir.

  • Event ID 4887: Sertifikanın başarıyla yayınlandığını gösterir. Bu loglar, şüpheli etkinliklerin belirlenmesi açısından kritik öneme sahiptir.

Bu loglar, saldırıların zamanında önlenmesi veya tespit edilmesi için değerlidir.

Korunma ve Sıkılaştırma

AD CS güvenliği için uygulanabilecek bazı korunma ve sıkılaştırma önerileri:

  1. Sertifika Şablonları Sıkılaştırması: 'Supply Subject' özelliğini kapatmak ve yalnızca yetkili kullanıcıların erişebileceği şekilde tasarlamak kritik bir önlemdir. 

    Bu yapılandırmalar sayesinde, sertifika taleplerinin kontrolü sağlanabilir.

  2. Extended Protection for Authentication (EPA) Kullanımı: Web kayıt hizmetlerinde EPA özelliğini aktif hale getirmek, NTLM relay saldırılarına yönelik koruma sağlar.

  3. Düzenli Güvenlik Denetimleri: Yapılandırmaların ve izinlerin sürekli olarak gözden geçirilmesi, yanlışlıkların ve potansiyel zafiyetlerin önüne geçebilir.

Sonuç

AD CS zafiyetleri, siber güvenlik alanında dikkate alınması gereken ciddi tehditlerdir. Yanlış yapılandırmalar ve potansiyel saldırı senaryoları, sertifika güvenliğini tehlikeye atabilmektedir. İzleme, olay günlüğü işlemleri ve sıkılaştırma stratejileri, bu tür zafiyetlerin kontrol altına alınmasında etkili birer araçtır. İyi yapılandırılmış AD CS sistemleri, siber güvenlik ortamının temel taşlarından birini oluşturmakta ve saldırı vektörlerini minimize etmektedir.