CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

NTLM Protokolü: Güvenlik Zafiyetleri ve Korunma Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

NTLM protokolünün yapısını, güvenlik zafiyetlerini ve korunma yöntemlerini detaylı bir şekilde inceleyin.

NTLM Protokolü: Güvenlik Zafiyetleri ve Korunma Yöntemleri

NTLM protokolü, Windows sistemlerinde kimlik doğrulama sürecinin temelini oluşturur. Ancak, bu protokoldeki zafiyetler siber güvenlik risklerine yol açabilir. Yazımızda NTLM'in detayları ve korunma yollarını bulabilirsiniz.

Giriş ve Konumlandırma

NTLM (New Technology LAN Manager), Microsoft'un Windows işletim sistemlerinde kimlik doğrulama için geliştirdiği bir protokoldür. Kerberos öncesi dönemlerde temel kimlik doğrulama mekanizması olarak kullanılan bu protokol, 'Meydan Okuma/Yanıt' (Challenge/Response) yapısına dayanmaktadır. NTLM, istemcinin parolasını doğrudan göndermek yerine, sunucudan gelen bir soruyu (challenge) parolasıyla şifreleyerek kimliğini kanıtlamasını sağlar. Bu süreçte güvenlik seviyesi, protokolün kullanım şekline ve uygulama senaryolarına bağlı olarak değişiklik göstermektedir.

NTLM Protokolünün Önemi

NTLM, birçok Windows tabanlı ağda hala kullanıldığı için siber güvenlik açısından oldukça kritik bir konumda yer almaktadır. Ancak, zaman içinde ortaya çıkan çeşitli güvenlik zafiyetleri ve siber saldırı teknikleri nedeniyle NTLM'in kullanımı sorgulanmaya başlanmıştır. Öncelikle, NTLM, ağ üzerindeki trafiğin şifrelenmesinde yetersizlikler yaşamakta ve bazı saldırı türlerine karşı savunmasız bir hale gelmektedir. Örneğin, "Pass-the-Hash" ve "LLMNR Poisoning" gibi saldırılar, NTLM ile kimlik doğrulaması yapılırken sıkça kullanılan tekniklerdir.

NTLM protokolü, özellikle şirketlerin kritik altyapılarında kullanıldığında, kötü niyetli saldırganlar tarafından kolayca hedef alınabilmektedir. Bu nedenle, siber güvenlik uzmanlarının ve penetrasyon test uzmanlarının NTLM protokolünün zafiyetlerini anlamaları ve bu doğrultuda korunma yöntemlerini geliştirmeleri son derece önemlidir.

Pentest ve Savunma Açısından NTLM

Penetrasyon testi (pentest) bağlamında, NTLM'in savunmasız yapısını keşfetmek önemli bir aşamadır. Saldırı simülasyonları sırasında, birçok farklı teknik kullanılarak NTLM protokolüne yönelik zayıf noktalar incelenebilir. Mesela, bir pentest sırasında NTLM Relay saldırısı gerçekleştirilerek, istemciden gelen kimlik bilgileri başka bir sunucuya yönlendirilip doğrulanmaya çalışılabilir.

Bunun yanı sıra, NTLM kullanılarak sızma testi gerçekleştirildiğinde, "NEGOTIATE_MESSAGE", "CHALLENGE_MESSAGE" ve "AUTHENTICATE_MESSAGE" aşamaları dikkatlice analiz edilmelidir. Her bir aşama, saldırganlara kaydedilerek veya ele geçirilerek çeşitli yöntemlerle manipüle edilebilir.

1. NEGOTIATE_MESSAGE: İstemcinin desteklediği NTLM özelliklerini sunucuya bildirdiği ilk adım.
2. CHALLENGE_MESSAGE: Sunucunun istemciye gönderdiği rastgele bir sayısal değer (nonce).
3. AUTHENTICATE_MESSAGE: İstemcinin, sunucudan gelen sayıyı parolasıyla şifreleyip geri gönderdiği yanıt adımı.

Bu süreçte, NTLM protokolünün zayıf noktalarının tespit edilmesi, ağ güvenliğinin artırılmasında önemli bir rol oynamaktadır. Siber güvenlik uzmanları ve ağ yöneticileri, NTLM ile ilgili güvenlik önlemlerini artırarak, bu tür tehditlerle başa çıkma yeteneklerini geliştirirler.

Okuyucunun Hazırlığı

Bu içerikte, NTLM protokolünün nasıl çalıştığını, zafiyetlerini ve bu zafiyetlere karşı alınabilecek tedbirleri geniş bir şekilde ele alacağız. Ayrıca, NTLMv1 ve NTLMv2 arasındaki farkları ve modern ağ ortamlarında NTLM kullanımına dair önerileri inceleyeceğiz.

NTLM’in sunduğu kimlik doğrulama mekanizmasının anlayışına sahip olmak, okuyucunun bu protokol ile ilişkili tehditlerle daha etkin bir şekilde başa çıkmasını sağlamak için kritik bir ilk adım olacaktır. Siber güvenlik alanında daha derinlemesine bilgi sahibi olmak isteyenler için bu içerik, temel bir kaynak niteliği taşımaktadır. Gelecek bölümlerde, NTLM'in zafiyetleri ve korunma yöntemleri detaylandırılacak ve uygulamaya yönelik yaklaşımlar sunulacaktır.

Teknik Analiz ve Uygulama

NTLM Protokolü: Güvenlik Zafiyetleri ve Korunma Yöntemleri

NTLM Nedir?

NTLM (NT LAN Manager), Microsoft'un Windows işletim sistemlerinde kullanılan bir kimlik doğrulama protokolüdür. Protokol, Kerberos sistemine geçiş öncesi ve bazı durumlarda Kerberos ile birlikte kullanılarak, istemci-sunucu ilişkilerinde kimlik doğrulaması sağlamak üzere tasarlanmıştır. NTLM, "Meydan Okuma/Yanıt" (Challenge/Response) mekanizmasına dayanarak çalışır. Kullanıcı şifresi doğrudan iletilmez; bunun yerine, istemci, sunucudan aldığı rastgele bir değer (nonce) ile birlikte parola hash'ini kullanarak yanıt üretir.

NTLM Akış Aşamaları

NTLM kimlik doğrulamasının üç ana aşaması bulunmaktadır:

  1. NEGOTIATE_MESSAGE: İstemci, sunucuya desteklediği NTLM özelliklerini bildirir.
  2. CHALLENGE_MESSAGE: Sunucu, istemciye rastgele bir sayı (nonce) gönderir.
  3. AUTHENTICATE_MESSAGE: İstemci, sunucudan gelen sayıyı parolasıyla şifreleyip geri gönderir.

Bu aşamaları anlamak, NTLM ile ilgili güvenlik açıklarını analiz etme konusunda önemlidir.

Hash Depolama (SAM)

Windows sistemlerinde kimlik doğrulama için NTLM hash'leri, SAM (Security Account Manager) veritabanında saklanır. Bu veritabanı, yerel kullanıcı hesaplarının NTLM hash'lerini içerir ve sistemin güvenliği açısından kritik bir role sahiptir. NTLM hash'lerini elde eden bir saldırgan, bu bilgileri kullanarak hedef sistemler üzerinde yetki elde edebilir.

NTLM Zafiyetleri

NTLM protokolünün bilinen birkaç güvenlik açığı vardır. Bunlar arasında:

  • SMB Relay Saldırıları: İstemciden alınan NTLM oturum isteği, bir saldırgan tarafından başka bir sunucuya yönlendirilerek sahte kimlik doğrulama sağlanabilir. Bu tür saldırıları önlemenin en etkili yöntemi, SMB imzalamasını aktif hale getirmektir. Bu durumda, paketlerin kaynağı doğrulanır ve araya girme saldırıları engellenir.

  • Pass-the-Hash: Bu saldırı tipinde, kullanıcı parolasının yerine NTLM hash'i kullanılarak yetki elde edilir. Yani, parolanın kendisi yerine, ele geçirilen hash doğrudan kimlik doğrulama amacıyla kullanılabilir.

  • LLMNR Poisoning: Bir saldırgan, ağdaki isim çözümleme isteklerine sahte cevaplar vererek NTLM hashlerini ele geçirebilir.

NTLM’in güvenlik açıklarını en aza indirmek için, NTLMv2 gibi daha güvenli sürümlerinin kullanılması önerilmektedir. NTLMv2, HMAC-MD5 algoritması ile güçlendirilmiş bir versiyonudur ve algoritmanın zayıf yönlerini giderir.

NTLMv1 ➜ Güvensiz (DES tabanlı)
NTLMv2 ➜ Güvenli (HMAC-MD5 tabanlı)

SMB Signing (SMB İmzalaması)

SMB imzalaması, NTLM üzerinden geçen verilerin bütünlüğünü sağlamak için kullanılan bir özelliktir. Bu özellik etkin olduğunda, iletilen paketlerin kaynağı doğrulanır ve bu durum, ağ üzerindeki saldırıları önlemeye yardımcı olur. SMB imzalama, güvenlik politikası açısından kritik bir öneme sahiptir.

NTLMv1 ve NTLMv2 Farkı

NTLMv1, DES şifreleme algoritması kullanırken, NTLMv2, HMAC-MD5 algoritması ile şifreleme yapar. Günümüzde NTLMv1 kullanılmamakta ve bu sürüm, güvenlik açısından yetersiz olduğu için önerilmemektedir. NTLMv2'ye geçiş yapmak, mevcut sistemlerde güvenliği artırmak adına önemlidir.

Net-NTLM Hash

Net-NTLM hash, ağ üzerinden iletilen ve sunucu tarafından gönderilen "challenge" değerini de içeren dinamik bir hash türüdür. Saldırganların bu tür hash'leri ele geçirmesi, güvenlik açıklarını artırabilir.

Güvenlik Sıkılaştırma

NTLM protokolü kullanımını minimize etmek ve sistemlerdeki güvenliği artırmak için, aşağıdaki adımlar önerilmektedir:

  • NTLM Kullanımını Sınırlandırın: Mümkünse NTLM trafiği tamamen kapatılmalı ve her yerde Kerberos kullanımı zorunlu hale getirilmelidir.
  • SMB İmzalaması Aktif Edin: SMB imzalamasının etkinleştirilmesi, iletişimlerin güvenliğini artıracaktır.
  • Hash Depolama Güvenliği: SAM veritabanı koruması sağlanmalı ve bu verilerin dışa çıkarılması önlenmelidir.

Event ID 4624 ve NTLM

Bir başarılı oturum açma olayında, Windows Event Log'da kaydedilen Event ID 4624, kullanılan kimlik doğrulama protokolünü belirlemekte yardımcı olur. Bu olay kaydında "Authentication Package" alanı, protokolün NTLM mi yoksa Kerberos mu olduğunu gösterir.

Bu bilgiler, NTLM protokolünün daha iyi anlaşılmasına ve güvenlik açıklarının tespit edilmesine yardımcı olacaktır. NTLM’in zayıf noktalarını anlamak, ağların siber güvenliğini artırmak için kritik bir adımdır.

Risk, Yorumlama ve Savunma

NTLM (NT LAN Manager) protokolü, Windows sistemlerinde kimlik doğrulama mekanizması olarak yaygın bir şekilde kullanılmakla birlikte, bazı güvenlik zafiyetleri taşımaktadır. Bu bölümde, NTLM'in güvenlik anlamındaki risklerini değerlendirecek, zafiyetlerinin etkilerini açıklayacak ve profesyonel önlemler ile hardening stratejilerine odaklanacağız.

NTLM Zafiyetleri ve Etkileri

NTLM, zamanında güçlü bir kimlik doğrulama protokolü olarak tasarlanmış olsa da, günümüzde bazı önemli zafiyetleri bulunuyor. Bu zafiyetlerin başında Pass-the-Hash ve NTLM Relay saldırıları gelmektedir.

  • Pass-the-Hash saldırısı, kötü niyetli bir aktörün, ele geçirdiği parolayı değil, direkt olarak NTLM hash değerini kullanarak kimlik doğrulaması yapabilmesine olanak tanır. Örneğin, aşağıdaki gibi bir komut ile hash değeri kullanılabilir:
Invoke-Command -ScriptBlock { Some-Command } -Credential (New-Object System.Management.Automation.PSCredential("DOMAIN\User", (ConvertTo-SecureString "HASH_VALUE" -AsPlainText -Force)))
  • NTLM Relay saldırıları ise istemciden gelen isteklerin, saldırgan tarafından başka bir sunucuya yönlendirilmesi yoluyla gerçekleştirilir. Bu tür saldırılar, ağ üzerinde yetkisiz erişim sağlama riski taşır. Özellikle SMB imzalaması devre dışı bırakıldığında, bu tür saldırılara karşı savunmasız kalınır.

Hedef VIP'lerin Değerlendirilmesi

NTLM kullanılan bir ağa yönelik yapılan sızma testlerinde elde edilen verilerin yorumlanması oldukça kritiktir. Örneğin, ağ trafiği analiziyle ele geçirilen Net-NTLM hash değerleri kötü niyetli aktörlerin eline geçtiğinde, bu aktörler tüm ağa erişim sağlayabilir. Bu tür saldırıların önüne geçebilmek için, NTLM kullanımının sınırlandırılması ve mümkünse tamamen terk edilmesi önerilmektedir.

Yanlış Yapılandırmanın Etkileri

Yanlış yapılandırmalar, NTLM protokolünü kullanan sistemlerde büyük riskler doğurabilir. Örneğin, NTLMv1 yerine güvenilir bir alternatif olan NTLMv2 kullanılmadığında, saldırganlar daha kolay bir şekilde zafiyetleri keşfedebilir. NTLMv1’de kullanılan DES şifreleme günümüzde güvensiz kabul edilmektedir ve bu nedenle NTLMv2 ile geçiş yapılması önerilmektedir.

Profesyonel Önlemler ve Hardening Stratejileri

Ağ yapısını güvence altına almak ve NTLM'in risklerini azaltmak için uygulanabilecek bazı profesyonel önlemler şunlardır:

  1. Kerberos'a Geçiş: NTLM trafiği mümkünse tamamen kapatılmalı ve Kerberos kimlik doğrulama mekanizması zorunlu hale getirilmelidir. Kerberos, güçlü bir kimlik doğrulama protokolü olup, NTLM’in birçok zafiyetinin önüne geçebilir.

  2. SMB İmzalaması Aktif Edilmelidir: SMB imzalama, ağ trafiği sırasında paketlerin kaynağını doğrular ve araya girme saldırılarını engeller. Bu ayarın aktif edilmesi, NTLM Relay saldırılarına karşı ek bir koruma sağlar.

  3. Güçlü Parola Politikaları: Parolaların karmaşık ve uzun olması sağlanmalı; eski parolaların kullanılmaması için süreli değişim uygulamaları devreye alınmalıdır.

  4. İzleme ve Günlük Kaydı: NTLM ile ilgili sistem olayları (örneğin, Event ID 4624) sürekli izlenmeli ve günlükler incelenmelidir. Bu sayede, sistemdeki olası zafiyetler hızlı bir şekilde tespit edilebilir.

  5. Patching ve Güncellemeler: Sistemlerin ve yazılımların güncelliğini korumak; bilinen zafiyetlerin giderilmesi açısından kritik bir adımdır.

Sonuç

NTLM protokolü, eski ama hala yaygın bir kimlik doğrulama yöntemi olarak, ciddi güvenlik zafiyetleri içermektedir. Bu zafiyetlerin etkili bir şekilde değerlendirilmesi ve uygun güvenlik önlemleri alınması kritik önem taşımaktadır. Kuruluşlar, NTLM kullanımını minimize ederek veya tamamen ortadan kaldırarak daha güvenli bir kimlik doğrulama mekanizmasına geçmeli ve güvenlik standartlarını yükseltmelidir.