CVE-2022-26923 · Bilgilendirme

Microsoft Active Directory Domain Services Privilege Escalation Vulnerability

CVE-2022-26923, yetkilendirilmiş kullanıcıların SYSTEM seviyesine yükselmesini sağlayan bir Active Directory zafiyetidir.

Üretici
Microsoft
Ürün
Active Directory
Seviye
yüksek
Yayın Tarihi
03 Nisan 2026
Okuma
9 dk okuma

CVE-2022-26923: Microsoft Active Directory Domain Services Privilege Escalation Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2022-26923, Microsoft'un Active Directory Domain Services (AD DS) bileşeninde meydana gelen bir güvenlik zafiyetidir. Bu zafiyet, yetkilendirilmiş bir kullanıcının, kendisine ait ya da yönettiği bilgisayar hesaplarının özelliklerini manipüle etmesine ve Active Directory Sertifika Hizmetleri'nden (AD CS) bir sertifika almasına olanak sağlar. Bu durum, kullanıcının sistemdeki yetkilerini artırarak sistem yöneticisi (SYSTEM) seviyesine çıkmasına sebep olabilir. Bu tür bir zafiyet, organizasyonların güvenlik durumunu ciddi şekilde tehdit eden bir senaryo sunar.

Zafiyetin tarihi, 2022 yılının ortalarına kadar uzanır. Microsoft, bu zafiyeti 2022'nin Mart ayında keşfetmiş ve güvenlik güncellemelerini Mayıs 2022'de yayımlamıştır. Zafiyetin temelinde, Active Directory'nin nasıl yapılandırıldığına dair bir hata yatmaktadır. Belirtilen zafiyet, kullanıcının bilgisayar hesabı için gerekli olan özellikleri üzerinde doğrudan değişiklik yapmasına izin veren bir kod yolundaki açıkları içermektedir. Bu açık, bilgisayar hesabı sahipliğini kullanan kötü niyetli bir kullanıcının, sertifika almasına ve bu sertifikayı kullanarak sistemdeki daha yüksek yetkilere sahip olmasına olanak tanıyabilir.

Zafiyetin potansiyel etkileri oldukça geniştir. Özellikle büyük organizasyonlar, devlet daireleri ve finans sektörü gibi hassas veri ve sistemlerin koruma altında tutulduğu alanlarda, bu tür bir zafiyetin sonucunda veri ihlali ya da sistemin ele geçirilmesi gibi sonuçlar doğabilir. Kullanıcıların ya da sistemlerin yetkisiz erişimi, saldırganların istedikleri verilere ulaşmalarına ve sistemin içinde hareket etmelerine kapı aralayabilir. Örneğin, bir finans kurumunda çalışmakta olan yetkilendirilmiş bir kullanıcının, CVE-2022-26923 zafiyetini kullanarak daha yüksek yetkiler elde etmesi, önemli mali verilere erişim sağlaması anlamına gelebilir.

Gerçek dünya senaryolarında, zafiyetin etkisini örneklemek gerekirse; bad actor'ların (kötü niyetli kullanıcılar) bu zafiyeti kullanarak öncelikle bir çalışan hesabını ele geçirdiğini düşünelim. Bu kullanıcı, AD DS üzerindeki kendi bilgisayar hesabı aracılığıyla gerekli değişiklikleri yaparak bir sertifika alabilir ve bu sertifika ile sistemdeki kritik kaynaklara erişim sağlar. Bu durumda, kullanıcının elde ettiği yetkiler, sistemin baştan sona tam kontrolünü eline almasına olanak tanıyabilir.

Bu tür zafiyetlerin ortaya çıkmasını önlemek için, organizasyonların güvenlik politikalarını sürekli gözden geçirmesi ve güncellemesi gerekmektedir. Aktif Directory ortamlarında, kullanıcıların sahip olduğu izinleri düzenli olarak denetlemek, gereksiz erişim haklarını kaldırmak ve root düzeyinde değişikliklerin izlenmesi önemlidir. Ayrıca, sistem güncellemeleri ve yamaları düzenli olarak uygulamak, bu tür zafiyetlerin yarattığı potansiyel riskleri azaltmada kritik bir rol oynamaktadır.

Sonuç olarak, CVE-2022-26923 zafiyeti, organizasyonların güvenlik sorunları ile başa çıkmalarında dikkatli olmaları gereken önemli bir örnek teşkil etmektedir. Bu tür açıkların varlığı, siber güvenlik uygulamalarının ciddiyetle ele alınması gerektiğini ve sürekli olarak gelişen tehditlere karşı hazırlıklı olunması gerektiğini göstermektedir.

Teknik Sömürü (Exploitation) ve PoC

CVE-2022-26923, Microsoft Active Directory (AD) Domain Services üzerinde önemli bir güvenlik açığıdır. Bu zafiyet, kimliği doğrulanmış bir kullanıcının, kendisine ait veya yönetiminde olan bilgisayar hesaplarının niteliklerini manipüle ederek, Active Directory Certificate Services (AD CS) üzerinden bir sertifika almasına olanak tanır. Bu sertifika, kullanıcının sistem düzeyinde (SYSTEM) yetkilere erişim elde etmesine neden olur. Bu tür bir istismar, kötü niyetli bir aktör tarafından kullanıldığında, ağ içindeki kontrolün kaybolmasına ve veri ihlallerine yol açabilir.

Sömürü aşamalarına geçmeden önce, zafiyeti anlamak için temel bileşenleri incelemek önemlidir. Microsoft Active Directory, kullanıcı ve bilgisayar hesaplarını yönetmek için kullanılan bir hizmettir. Kullanıcılar, bu hesaplar üzerinden çeşitli kaynaklara erişim talep edebilirler. CVE-2022-26923, bir kullanıcının kendi yönettiği bilgisayar hesaplarının özelliklerini kötüye kullanarak, onların üzerinde yetkilere sahip olduğu varsayımıyla çalışır.

Sömürü aşamalarını açıklayalım:

  1. Ortama Erişim Sağlama: İlk aşamada, zafiyetten yararlanacak olan kişinin hedef sistem üzerindeki bir kullanıcı hesabına sahip olması gereklidir. Bu, genellikle bir çalışan veya sistem yöneticisi gibi güvenilir bir kullanıcı olabilir. Test ortamında, basit bir kullanıcı hesabıyla giriş yapılabilir.

  2. Hedef Bilgisayar Hesabını Bulma: Kullanıcı, yönetiminde olan bilgisayar hesaplarını bulmak için LDAP (Lightweight Directory Access Protocol) sorguları yapabilir. Bunu aşağıdaki gibi bir sorgu ile gerçekleştirebiliriz:

    import ldap

ldap_server = "ldap://localhost"
username = "user@example.com"
password = "password"

conn = ldap.initialize(ldap_server)
conn.simple_bind_s(username, password)

base_dn = "ou=Computers,dc=example,dc=com"
search_filter = "(objectClass=computer)"

results = conn.search_s(base_dn, ldap.SCOPE_SUBTREE, search_filter)

for dn, entry in results:
    print(dn)

  3. Bilgisayar Hesabı Niteliklerini Manipüle Etme: Kullanıcı, bulunmuş olan bilgisayar hesabının niteliklerini değiştirebilir. Bu nitelikler arasında, sertifika talepleri için gerekli olan "msPKI-Enterprise-CA" nitelikleri bulunmaktadır. Aşağıdaki örnek ile bu niteliklerin değiştirilmesi sağlanabilir:

    modifications = [(ldap.MOD_REPLACE, 'msPKI-Certificate-Template-Name', b'NewTemplate')]
conn.modify_s('cn=TargetComputer,ou=Computers,dc=example,dc=com', modifications)

  4. Sertifika Talebinde Bulunma: Nitelikler değiştirildikten sonra, kullanıcı artık kendi sertifikasını almak üzere AD CS’ye talepte bulunabilir. Aşağıda, bir sertifika talebi için HTTP isteği örneği verilmiştir:

    POST /certsrv/certsrv/certnew.asp HTTP/1.1
Host: certsrv.example.com
Content-Type: application/x-www-form-urlencoded

certRequest=...&CertTemplate=NewTemplate&Subject=CN=maliciousUser

  5. Sertifikayı Alma ve Yetki Kazanma: Talep onaylandığında, kullanıcının eline geçecek olan sertifika ile SYSTEM düzeyinde yetkilere erişmesi mümkündür. Bu yetki ile, kullanıcı artık hedef sistem üzerinde tam kontrol sahibi olabilecektir.

Sonuç olarak, CVE-2022-26923 zafiyeti, kimliği doğrulanmış bir kullanıcının kolayca sistem düzeyinde yetki elde etmesine olanak tanımaktadır. Bu tür zafiyetlerin farkında olmak ve gerekli koruyucu önlemleri almak, ağ güvenliği açısından kritik öneme sahiptir. Kullanıcıların yetkilerini kontrol altında tutmak, gereksiz izinlerin verilmemesi ve aktif izleme yapmak, bu tür zafiyetlerin istismarını önleyebilir. White Hat Hacker’lar olarak, sistemlerdeki bu tür zayıflıkları tespit edip, kurumları bilgilendirmek ve güvenliklerini artırmak amacıyla çalışmalar yürütmeliyiz.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2022-26923, Microsoft Active Directory (AD) sistemlerinde var olan bir zafiyettir ve kurumsal ağlardaki kullanıcıların yetki yükseltme (privilege escalation) yapmasına olanak tanır. Bu zafiyet, kötü niyetli bir kullanıcının sahip olduğu veya yönettiği bilgisayar hesaplarında bazı özellikleri manipüle etmesine ve Active Directory Sertifika Hizmetleri'nden (AD CS) bir sertifika alma yeteneği kazanmasına dayanır. Böylece, bu kullanıcı kendisini SYSTEM yetkisine yükseltebilir.

Siber güvenlik uzmanları, bu tür zafiyetlerin kötüye kullanılmasını önlemek ve tespit etmek için güncel log analizi (log analysis) ve adli bilişim (forensics) uygulamalarını kullanmalıdır. SIEM (Security Information and Event Management) sistemleri, olayların izlenmesi ve analizi için kritik bir rol oynar. Ancak, bir uzmanın bu zafiyetin kötüye kullanıldığını anlaması için odaklanması gereken belirli log dosyaları ve imzalar (signatures) bulunmaktadır.

Log dosyalarını incelemeye başlarken, Active Directory ile ilgili olan Access log (erişim logu) kayıtları oldukça önemli bir kaynaktır. Bu loglarda, kullanıcının hangi eylemleri gerçekleştirdiği, erişim sağladığı kaynaklar, zaman damgaları ve IP adresleri gibi bilgiler yer alır. Özellikle, sertifika talep eden kullanıcıların logları dikkatlice gözden geçirilmelidir. Sertifika talepleri, sistemdeki bazı anormal aktivitelerin ilk belirtisi olabilir.

Ayrıca, error log (hata logu) kayıtları da dikkate alınmalıdır. Bu loglar, sistemde meydana gelen hataların kaydını tutar ve potansiyel bir güvenlik ihlaline dair bilgi verebilir. Kullanıcıların yetkisiz sertifika talepleri veya doğrulama hataları gibi anomaliler, bu loglardan tespit edilebilir.

Araştırmalar, genellikle zafiyetin kullanıldığı durumları analiz etmenin en etkili yolu: Aşağıdaki imzalara (signatures) ve olay türlerine dikkat etmektir:

  1. Sertifika Talep Olayları: Anormal bir sertifika isteği (certificate request) gözlemlendiğinde, kullanıcı tarafından gerçekleştirilen bu işlemin kaynağı sorgulanmalı. Özellikle düşük yetkilere sahip bir kullanıcının yüksek yetkili bir sertifika talep etmesi (CA sertifikası) dikkat çekicidir.
  2. Yetersiz İzin Problemleri: Bilgisayar hesapları üzerinde beklenmeyen değişiklikler gözlemlendiğinde, kullanıcının bu değişiklikleri yapıp yapamayacağı kontrol edilmelidir. Bir kullanıcının sahip olmadığı veya normal şartlarda erişemeyeceği nesnelerin değiştirilmesi (modification) durumu inceleme gerektirir.
  3. Yetki Yükseltme İhlalleri: Log kayıtlarında kullanıcıların yüceltilmiş yetkilerle gerçekleştirdiği işlemler (privilege escalation) takip edilmelidir. Örneğin, SYSTEM yetkisine yükseltme girişimleri ve bu girişimlerin sonuçları kayıt altına alınmalıdır.
  4. Anormal Erişim Davranışları: Kullanıcıların geomatik (geographic) konumlarında belirgin değişimlerin kaydedilmesi durumunda, bu kullanıcıların IP adreslerinin ve oturum bilgilerini sorgulamak gerekebilir.

Bunların yanı sıra, SIEM sistemleri kullanılarak bu tür olayların alarm seviyeleri belirlenmeli ve anormal bir durum tespit edildiğinde alarm üretilmeye başlanmalıdır. Uzmanlar, log analizinde belirli pattern'leri (desenleri) tespit etmek ve bu sayede olası anormallikleri hızlıca değerlendirmek için makine öğrenme tekniklerinden yararlanabilir.

Sonuç olarak, CVE-2022-26923 gibi zafiyetlerin tespit edilmesi ve önlenmesi için gerçekleştirilmesi gereken adımlar, siber güvenlik profesyonellerinin log analizine yönelik teknik bilgi ve deneyimlerini yoğun bir şekilde kullanmalarını gerektirir. Bu bağlamda, doğru log türleri üzerinde derinlemesine analiz yapmak, tehditleri daha etkili bir şekilde anlamak ve yanıt vermek için hayati önem taşımaktadır.

Savunma ve Sıkılaştırma (Hardening)

Microsoft Active Directory (AD), birçok organizasyonun ağlarının temel bileşenlerinden biri olarak, kimlik yönetimi ve erişim kontrolünü sağlamaktadır. Ancak, CVE-2022-26923 kodu ile bilinen bir güvenlik açığı, sisteminizi tehlikeye atabilir ve yetkisiz erişim olaylarına yol açabilir. Bu tür bir durumla karşılaşmamak için, sistemlerinizi sürekli olarak sıkılaştırmak ve savunma stratejilerini uygulamak kritik öneme sahiptir.

CVE-2022-26923 zafiyeti, kimliği doğrulanmış kullanıcıların kendi yönettikleri veya sahip olduğu bilgisayar hesaplarındaki özellikleri manipüle etmesine olanak tanır. Bu durum, Active Directory Certificate Services (AD CS) üzerinden bir sertifika almak suretiyle, kullanıcının sistem yöneticisi (SYSTEM) yetkilerine yükselmesini sağlayabilir. Bu tür bir yetki yükseltme (Privilege Escalation), ağ içerisindeki herhangi bir saldırganın sistemi tamamen kontrol etmesine imkan tanır.

Zafiyetin kapatılması için öncelikle, sistem yöneticilerinin güncellemeleri düzenli olarak takip etmesi ve Microsoft'un yayımladığı patch’leri uygulaması gerekmektedir. Ancak güncellemeler tek başına yeterli değildir. Altında yatan probleme karşı kalıcı çözümler bulmak, daha sağlam bir savunma mekanizması oluşturmak açısından hayati önem taşır.

Güvenlik açığını kapatmanın yolları arasında öncelikle AD yapısının sıkılaştırılması (hardening) yer alır. Bu işlemleri gerçekleştirmek için şu adımları takip edebilirsiniz:

  1. Yetkilendirme ve Erişim Kontrolü: AD'de kullanılan hesapların sadece ihtiyaç duydukları yetkilere sahip olduğundan emin olun. Rolleri tanımlarken, "En Az Ayrıcalık" (Principle of Least Privilege) ilkesini uygulamak, etkili bir koruma sağlar.

  2. Güçlü Şifre Politikaları: Kullanıcılar için güçlü şifre politikaları belirlemek ve kullanıcıları düzenli olarak şifrelerini değiştirmeleri konusunda teşvik etmek, yetkisiz erişimleri önlemede önemli bir adımdır.

  3. Audit ve Loglama: Sistemdeki tüm şüpheli aktiviteleri takip etmek için denetim kayıtlarını (audit logs) etkinleştirerek, kullanıcının gerçekleştirdiği değişiklikleri izlemek önemlidir. Böylece anormal etkinlikler tespit edilerek hızlı bir şekilde müdahale edilebilir.

  4. Güvenlik Duvarı ve WAF Kuralları: Alternatif bir web uygulaması güvenlik duvarı (WAF) uygulaması, belirli kurallar ile etkinleştirilmeli ve bu kurallar, güvensiz sorguları engelleyecek şekilde yapılandırılmalıdır. Örneğin:

   Set-WafPolicy -BlockPattern "SELECT.*FROM" -Action "Deny"
   Set-WafPolicy -BlockPattern "DROP TABLE" -Action "Deny"

  1. Sertifika Yönetimi: AD CS üzerinden verilen sertifikaların yönetimini sıkılaştırmak önemlidir. Kullanıcıların yalnızca gerekli sertifikalara erişmekte ve bu sertifikaların süresinin bitim tarihlerini takip etmek kritiktir.

  2. Patching ve Güncellemeler: Tüm yazılımlar ve özellikle işletim sistemleri için güncellemeleri düzenli olarak kontrol edin. Yazılımın her zaman en son sürümde olması, bilinen güvenlik açıklarına karşı koruma sağlar.

Bu önlemlerle birlikte, güvenlik açığının etkilerini azaltmak ve dolayısıyla sisteminizin bütünlüğünü savunmak için bir strateji oluşturulmalıdır. Herhangi bir sisteme entegre edilen güvenlik önlemleri, sürekli olarak gözden geçirilmeli ve güncellenmelidir. Bilgi güvenliği alanında atılacak bu tür adımlar, organizasyonun siber saldırılara karşı daha dirençli olmasını sağlayacaktır.