CyberFlow Logo CyberFlow BLOG
Smb Pentest

GPP Password Sızıntısı: Siber Güvenlikte Kritik Bir Tehdit

✍️ Ahmet BİRKAN 📂 Smb Pentest

GPP password sızıntısı, ağ güvenliğinde önemli bir zafiyet. Bu makalede, GPP'nin etkileri ve korunma yöntemlerini keşfedin.

GPP Password Sızıntısı: Siber Güvenlikte Kritik Bir Tehdit

GPP parolası sızıntıları, ağlarda güvenlik tehditleri oluşturabilir. Bu yazıda GPP'yi, kritik noktaları ve nasıl korunacağınızı öğrenin.

Giriş ve Konumlandırma

Siber güvenlik, günümüz dijital çağında temel bir ihtiyaç haline gelmiştir. Kurumsal ağlarda güvenliğin sağlanması, siber tehditlerin önlenmesi ve bilgi gizliliğinin korunması için sürekli gelişen teknik bilgiye sahip olmak gerekmektedir. Bu bağlamda, Group Policy Preferences (GPP) sızıntısı önemli bir tehdit olarak öne çıkmaktadır. Bu yazıda, GPP'nin ne olduğunu, sızmanın potansiyel etkilerini ve önleme yöntemlerini ele alacağız.

GPP Nedir?

Group Policy Preferences, sistem yöneticilerine yerel kullanıcılar oluşturma, parolalar atama ve bu ayarları tüm ağa yayma imkanı tanıyan bir Windows bileşenidir. GPP, sistem yönetiminde sağladığı kolaylıklarla bilinse de, güvenlik zafiyetleri de taşımaktadır. Özellikle, bu bileşen kullanılarak oluşturulan parolaların saklandığı sistemler üzerindeki tehditler dikkatle değerlendirilmelidir.

GPP ile yapılandırılan ayarlar, genellikle SYSVOL adı verilen paylaşımlarda saklanır. Bu paylaşım, ağdaki tüm kimliği doğrulanmış kullanıcıların okuma iznine sahip olduğu kritik bir alandır. Dolayısıyla, bu yapının güvenliğinde bir açık, geniş bir tehdit alanına dönüşebilir.

Parola Saklama Problemi

GPP aracılığıyla oluşturulan kullanıcı parolaları, belirli XML dosyalarında şifrelenmiş olarak tutulur. Ancak bu şifreleme işlemi, AES-256 algoritması ile gerçekleştirilir ve anahtarın kamuya açık olması sebebiyle güvenli sayılmaz. Yani parolaların şifreli olması bir koruma sağlasa da, anahtarın bilinir olması durumunda bu şifreleme etkisiz kalmaktadır. Microsoft, bu tür zafiyetleri ortadan kaldırmak amacıyla 2014 yılında belirli güncellemeler yayınladı, ancak birçok ağ ortamında bu güncellemeler henüz uygulanmamıştır.

SYSVOL Paylaşımı ve Hedefler

SYSVOL, yönetimsel tercihlerin topluca dağıtıldığı bir yapı talep etmektedir. Bu paylaşım altında kritik XML dosyaları bulunmaktadır. Örneğin, Groups.xml dosyası, GPP kullanarak oluşturulmuş yerel kullanıcı bilgilerini içerir ve burada parolalar cpassword özniteliği altında yer alır. Bu dosyaların incelenmesi, sızma testleri (pentest) yapılarak güvenlik açıklarının tespit edilmesi açısından kritik önem taşır.

Bir pentester olarak, bu dosyaların taranması ve içindeki cpassword değerinin çözülmesi süreci teknik bir beceri ve deneyim gerektirir. Bunun için klasik Linux araçları, optik komutlar ve özel yazılımlar kullanılmaktadır. Örneğin, aşağıdaki komut ile SYSVOL içinde cpassword kelimesini arayabiliriz:

grep -r "cpassword" /mnt/sysvol

Elde edilen değerlerin düz metne çevrilmesi için genellikle gpp-decrypt aracı kullanılmaktadır. Bu araç, parolayı ele geçirmek için hayati öneme sahiptir ve bu süreç, birçok sızma testinin ana aşamalarından biridir.

Önemli Tehditler ve Savunma Yöntemleri

GPP sızıntısının tehdit oluşturan yönleri saymakla bitmez. Sadece yerel kullanıcı hesaplarının değil, aynı zamanda sistem servisleri, zamanlanmış görevler ve uygulama veritabanları gibi diğer alanlarda da parolaların sızması mümkündür. GPP, çeşitli XML dosyalarında hassas bilgi sızdırabilir ve bu durum, kötü niyetli bir saldırganın eline geçmesi durumunda, büyük tehditler barındırır.

Bu nedenle, GPP ile ilgili yapılan güncellemelerin ve yamaların zamanında uygulanması öncelikli bir gerekliliktir. Örneğin, MS14-025 numaralı güncelleme, GPP'lerde şifrelenmiş parolaların saklanmasını yasaklamaktadır. Bunu uygulamak, ağ güvenliği açısından kritik bir adım olarak değerlendirilmektedir.

Sonuç

GPP parola sızıntısı, siber güvenlik açısından dikkate alınması gereken kritik bir konudur. Bu nedenle, sistem yöneticilerinin GPP'yi doğru bir şekilde kullanmaları, yasaları takip etmeleri ve alınacak önlemler konusunda güncel bilgileri takip etmeleri önemlidir. GPP sızıntısını önlemek için ağınızdaki tüm kullanıcı hesaplarını, şifreleme anahtarlarını ve yazılım güncellemelerini düzenli olarak gözden geçirmeniz gerekmektedir. Siber güvenlikte etkili olmak, sürekli eğitim ve bilgili bir yaklaşım gerektirir.

Teknik Analiz ve Uygulama

GPP Nedir?

Group Policy Preferences (GPP), Windows işletim sisteminde, sistem yöneticilerinin yerel kullanıcı hesapları oluşturmasına, parolalar atamasına ve bu ayarları ağa yaymasına olanak tanıyan bir özelliktir. GPP, kuruluşların bilgisayar ağlarını yönetirken daha fazla esneklik ve kontrol sağlamaktadır. Ancak, bu özellik kullanılmadığında veya yanlış yapılandırıldığında, saldırganlar için önemli bir güvenlik açığı oluşturabilir.

Kritik Paylaşım: SYSVOL

GPP verilere, kullanıcıların ve bilgisayarların yapılandırma ayarlarının tutulduğu sistem paylaşımlarından biri olan SYSVOL altında erişilir. SYSVOL, GPO (Group Policy Object) verilerini barındırır ve ağdaki tüm kimliği doğrulanmış kullanıcılar tarafından okunabilir durumdadır. Bu nedenle, güvenlik ihlali açısından kritik bir yapılandırma alanıdır.

Hazine Dosyası: Groups.xml

GPP kullanılarak oluşturulan yerel kullanıcı hesaplarının bilgileri SYSVOL altında belirli bir XML dosyasında saklanır. Bu dosya genellikle Groups.xml olarak adlandırılır. İçerdiği bilgilerin başında parolaların şifrelenmiş halleri gelir. Buradaki sorun, parolaların şifreli olması değil, şifreleme sürecinde kullanılan AES anahtarının biliniyor olmasıdır.

Zafiyet: cpassword

GPP'deki en büyük zafiyet, XML dosyasında bulunan "cpassword" özniteliğidir. Bu öznitelik, bir kullanıcının şifrelenmiş parolasını tutar. Ancak, şifreleme işleminde kullanılan anahtarın kamuya açık olması, bu parolaların çözülmesini oldukça kolaylaştırır. Microsoft, bu anahtarı MSDN üzerinde yayınlamıştır, bu da saldırganların parolaları çözmesini kolaylaştırmaktadır.

Statik AES Anahtarı

GPP, parolaları AES-256 algoritmasıyla şifreler. Ancak bu anahtar tüm Windows sistemleri için sabittir ve değişmez. Bu özellik, saldırganların anahtara erişmesi durumunda, parolaların kolayca çözülmesine yol açar. Şifreleme mekanizması etkili olsa bile, anahtarın kamuya açıklanması, bu mekanizmayı etkisiz hale getirir.

Dosya Arama (Linux/SMB)

GPP parolalarının bulunabilmesi için, ilk adım olarak SYSVOL dizininde tarama gerçekleştirmektir. Kali Linux altında kullanılan smbclient veya mount komutları ile bu paylaşıma bağlanabiliriz. Aşağıdaki komut, "cpassword" içeren XML dosyalarını aramak için kullanılabilir:

grep -r "cpassword" /mnt/sysvol

Yukarıdaki komut, SYSVOL dizininde alt dizinlerde ve dosyalarda tüm "cpassword" anahtarlarını arayacaktır.

Parolayı Çözme (gpp-decrypt)

Elde edilen "cpassword" değerini düz metne çevirmek için Kali Linux üzerindeki gpp-decrypt aracı kullanılabilir. Kullanımı oldukça basittir ve genel olarak şu şekildedir:

gpp-decrypt JmOn8... (hash)

Bu komut, belirtilen hash değerini düz metin parolasına dönüştürecektir.

Sızıntı Noktaları (GPP Types)

Yalnızca kullanıcı oluşturulurken değil, GPP'nin diğer alanları da parolaların sızmasına neden olabilir. Örneğin, Services.xml, hizmet ayarları için kullanıcı bilgilerini tutarken; ScheduledTasks.xml, zamanlanmış görevlerin kimlik bilgilerini içerebilir. Bu tür dosyalar, saldırganlar için önemli hedeflerdir.

Yama: MS14-025

Microsoft, 2014 yılında yayımladığı MS14-025 güncellemesi ile GPO'larda şifrelenmiş parolaların saklanmasını yasaklamıştır. Bu güncelleme, GPP zafiyetini büyük ölçüde etkisiz hale getirmenin bir yolu olarak önerilmektedir. Aşağıda bu güncellemeye ait kod bulunmaktadır:

Kod: MS14-025

Metasploit ile Otomatik Keşif

GPP parolalarının otomatik olarak dökümünü yapmak için Metasploit framework üzerindeki post/windows/gather/credentials/gpp modülü kullanılabilir. Bu modül, ağdaki tüm SYSVOL paylaşımlarını tarayarak parolanın sızdırılmasını sağlar.

use post/windows/gather/credentials/gpp

İyileştirme (Remediation)

GPP sızıntısını kurumsal ağlarda kalıcı olarak mühürlemek için aşağıdaki önlemler alınmalıdır:

  • Eski dosyaların silinmesi: SYSVOL altındaki Groups.xml gibi eski dosyaların manuel olarak temizlenmesi.
  • Güncellemelerin uygulanması: MS14-025 yamasının tüm domain controller sistemlerine uygulanması.
  • Yerel Admin Parolası Yönetimi: LAPS gibi güvenli yöntemlerle yerel admin parolalarının merkezi bir şekilde yönetilmesi.

Nihai Hedef: Confidentiality

GPP denetimlerinin amacı, sistemin en gizli bilgisi olan parolaların "Gizlilik" ilkesini korumaktır. Bu nedenle, uygun güvenlik önlemlerinin alınması ve sürekli olarak güncellenmesi kritik önem taşımaktadır. Sızdırılan parolalar, sistem güvenliğini ciddi anlamda tehlikeye atabilir. Bu nedenle, siber güvenlik profesyonellerinin bu zafiyetleri anlaması ve uygun stratejileri uygulaması zorunludur.

Risk, Yorumlama ve Savunma

GPP (Group Policy Preferences) kullanılarak saklanan parolaların sızması, günümüzde siber güvenlik açısından önemli bir risk faktörü oluşturur. Bu bölümü, GPP sızıntısının anlamı, potansiyel etkileri ve alınabilecek önlemler üzerinde durarak oluşturuyoruz.

GPP Sızıntısının Güvenlik Anlamı

GPP, Windows ortamlarında sistem yöneticilerine çeşitli yönetimsel görevleri gerçekleştirme olanağı sağlar. Bu özellik, yerel kullanıcılar oluşturma, parolalarını atama ve bu ayarları tüm ağa yayma işlevini üstlenir. Ancak, bu özellik ile oluşturulan kullanıcı bilgileri, SYSVOL paylaşımında yer alan Groups.xml dosyasında saklanır. Buradaki en kritik zayıf nokta, parolanın şifreli olmasını sağlayan AES-256 anahtarının genel bir bilgi olmasıdır. Yani, saldırganlar bu anahtarı bularak şifrelenmiş parolaları kolayca çözebilir.

Örneğin, aşağıdaki komut ile SYSVOL altında cpassword içeren XML dosyalarını taramak mümkündür:

grep -r "cpassword" /mnt/sysvol

Bu şekilde elde edilen gözlemler, saldırganların kimlik bilgilerine kolay erişim sağladığını gösterir.

Yanlış Yapılandırma ve Zafiyet Etkisi

Yanlış yapılandırmalar veya zafiyetler, ağın güvenliğini tehdit eden en önemli etkenlerdendir. GPP kullanılarak oluşturulan yerel kullanıcıların parolaları şifrelenirken, bu süreçte kullanılan anahtarın gizli tutulmaması büyük bir risk yaratmaktadır. Microsoft tarafından yayınlanan bilgiler doğrultusunda, bu anahtarın doğru bir şekilde korunmaması, saldırganların parolaları yapılandırılmış sistemlerde oldukça kolay bir biçimde çözmelerine olanak verir.

Bu tür bir zafiyetin etkileri oldukça geniş olabilir. Saldırganlar, sisteme yetkisiz erişim elde ederek veritabanlarına ulaşabilir, hassas bilgileri çalabilir veya sistem üzerinde zararlı yazılımlar çalıştırabilir. Örneğin, sadece kullanıcı oluştururken değil, diğer GPP alanlarında da parola sızılabilir; bu durum, dolaylı yoldan birçok hizmetin veya uygulamanın güvenliğini tehdit edebilir.

Sızan Veri ve Topoloji

GPP sızıntısı, sahte kimlik bilgileri ile tam erişim sağlanmasına sebep olabilir. Örneğin, Services.xml dosyası tarafından hangi kullanıcının hangi parolayla çalışacağını belirlemek, kötü amaçlı bir saldırgan için önemli bir avantaj sağlar. Ayrıca, DataSources.xml belgesi, veritabanı bağlantı şifrelerini içerebilir, bu da doğrudan veri sızıntılarına yol açabilir.

Çeşitli GPP türlerinin sızma noktaları arasındaki bağlantılar dikkatle analiz edildiğinde, bir saldırı sonucunda hangi sistemlerin ve servislerin daha fazla risk altında olduğu anlaşılabilir.

Profesyonel Önlemler ve Hardening Önerileri

GPP sızıntılarıyla başa çıkmak için birkaç öneri ve önlem aşağıdaki gibi sıralanabilir:

  1. Yamanın Uygulanması: MS14-025 yaması, GPP kullanarak saklanan parolaların güvenliğini artırmak için kritik bir güncellemeyi sunar. Bu yamayı tüm Domain Controller sistemlerine uygulamak önemlidir.

  2. Eski Dosyaların Temizlenmesi: SYSVOL altındaki Groups.xml gibi eski dosyaların manuel olarak temizlenmesi, potansiyel sızıntı noktalarını azaltacaktır.

  3. LAPS Kullanımı: Yerel admin parolalarını merkezi bir çözüm ile yönetmek için LAPS (Local Administrator Password Solution) gibi araçlar kullanılmalıdır. Bu, her bir sistem için farklı ve güçlü parolalar oluşturulmasına olanak tanır.

  4. Sızma Testi: Sistemlerde düzenli olarak sızma testleri yapmak ve bulgulara uygun şekilde güvenlik önlemlerini artırmak gerekmektedir.

  5. Eğitim: Kullanıcıların ve yöneticilerin bu tür tehditler hakkında bilinçlendirilmesi, saldırganların erişim elde etme olasılığını azaltacaktır.

Sonuç

GPP parolası sızıntıları, kurumsal ağlar için kritik bir risk kaynağıdır. Bu tehdit, düzgün yönetim ve güvenlik önlemleriyle etkili bir şekilde sınırlanabilir. Yukarıda belirtilen önlemler ve tekniklerin uygulanması, organizasyonların hassas verilerini korumalarına yardımcı olacaktır. GPP sızıntısının etkilerini önlemek için zamanında hareket etmek esastır.