CVE-2022-26925 · Bilgilendirme

Microsoft Windows LSA Spoofing Vulnerability

CVE-2022-26925: Microsoft LSA'daki spoofing açığı, kötü niyetli kullanıcıların domain controller'ları tuzağa düşürmesine olanak tanır.

Üretici
Microsoft
Ürün
Windows
Seviye
yüksek
Yayın Tarihi
03 Nisan 2026
Okuma
9 dk okuma

CVE-2022-26925: Microsoft Windows LSA Spoofing Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2022-26925, Microsoft Windows işletim sistemlerinde tespit edilen, Local Security Authority (LSA) üzerinde bulunan bir spoofing (sahtecilik) zafiyetidir. Bu zafiyet, saldırganların bir alan denetleyicisinin, saldırganın kontrolündeki bir sisteme NTLM (NT Lan Manager) kimlik doğrulaması yapmasını sağlamak amacıyla manipüle edilmesine olanak tanır. Düşük seviyeli bir güvenlik protokolü olarak NTLM, güvenlik açıkları barındırmaktadır ve bunun istismarı, saldırganların kötü amaçlı hamlelerde bulunmasına zemin hazırlamaktadır.

Zafiyetin tarihçesi incelendiğinde, 2022 yılı itibarıyla keşfedildiği ve ardından hızlı bir şekilde Microsoft'un dikkatini çekerek düzeltmelerinin üzerine gidildiği görülmektedir. Microsoft, LSA'nın güvenlik mimarisinin kritik bir bileşeni olduğunu vurgulayarak, bu tür zafiyetlerin işletim sisteminin bütünlüğü üzerindeki etkisinin ne denli büyük olduğunu belirtmiştir. CVE-2022-26925 zafiyetinin kaynağı, LSA'nın kimlik doğrulama süreçleri sırasında yeterli kontrollerin uygulanmamasıdır. Bu durum, saldırganların hedef sistemlerle olan iletişimini manipüle etmesine ve kullanıcı kimlik bilgilerini ele geçirmesine olanak tanıyan bir açık kapı bırakmaktadır.

Gerçek dünya senaryoları üzerinden bu zafiyetin nasıl istismar edilebileceğini göz önüne alalım. Örneğin, bir organizasyonun ağında çalışan bir bilgisayar, yeterince korunmayan bir ağ segmentinde yer alıyorsa, saldırgan buradan bu zafiyeti kullanarak alan denetleyicisine gerçekleştireceği temassız bir saldırı ile kimlik doğrulamasını ele geçirebilir. Kullanıcıların yetkili olduğu kaynaklara erişim sağlaması mümkün hale geleceğinden, bu durum kapsamlı bir veri kaybına ya da içsel sistemlere zarar verilmesine yol açabilir.

CVE-2022-26925, özellikle büyük ölçekli organizasyonları etkileyen bir zafiyet olup, finans, sağlık, eğitim ve devlet kurumları gibi birçok sektörde geniş bir yelpazede tehditler oluşturmuştur. Saldırganlar bu tür güvenlik açıklarını kullanarak, kuruluşların bilgi güvenliğine ciddi boyutlarda zarar verme potansiyeline sahiptir. Örneğin, finans sektöründeki bir bankanın ağında gerçekleşen bir saldırı, müşteri verilerinin sızdırılması veya mali kayıplara yol açabilecek dolaşım akışının manipüle edilmesiyle sonuçlanabilir.

Bu güvenlik açığı, aynı zamanda "Auth Bypass" (Kimlik Doğrulama Atlama) gibi diğer güvenlik açıklarıyla birleştiğinde, saldırganların daha karmaşık ve etkili saldırılar düzenlemesine olanak sağlayabilir. Bu tür bileşenlerin birleşimi, daha geniş kapsamlı saldırıların gerçekleştirilmesine olanak tanıyarak, şirketlerin bilgi güvenliği protokollerini ciddi anlamda test etmektedir.

Sonuç olarak, CVE-2022-26925 gibi zafiyetlerin varlığı, siber güvenlik alanında proaktif önlemlerin alınmasının gerekliliğini ortaya koymaktadır. Kuruluşların bu tür zafiyetleri tespit etmek ve bunlara karşı tedbir almak için düzenli sızma testleri ve güvenlik denetimleri yapması önemlidir. Yine, güncel yazılım ve sistem yamalarının izlenmesi, en iyi güvenlik uygulamalarının belirlenmesi ve çalışanların bu konularda eğitilmesi, güvenlik açığı riskini minimize etmek için atılacak en etkili adımlardandır.

Teknik Sömürü (Exploitation) ve PoC

Microsoft Windows Local Security Authority (LSA) Spoofing Vulnerability (CVE-2022-26925), güvenlik açıkları arasında önemli bir yer tutmaktadır. Bu güvenlik açığı, bir saldırganın domain controller’a (etki alanı denetleyicisi) NTLM (Windows NT LAN Manager) kullanarak kendi kimliğini sahte bir şekilde tanıttığı durumları kapsar. Saldırgan, hedef sistemin güvenliğini ihlal ederek veri sızıntısına veya sistemlerin kontrolünü ele geçirmeye neden olabilir. Bu yazımda, bu güvenliğin nasıl sömürülebileceğine dair ayrıntılı bilgi vereceğim.

İlk olarak, bu güvenlik açığından nasıl faydalanılabileceğini anlayabilmek için bazı ön koşulları ve adımları bilmek önemlidir. CVE-2022-26925 açığı, çoğunlukla ağ üzerinden gerçekleştirilmiş saldırılar sonucu ele geçirilebilir. Normalde, Windows LSA'nı istismar etmek, istenmeyen kimlik doğrulamalarıyla sonuçlanır ve saldırganın NTLM üzerinde kontrol sağlaması gözlemlenir.

İlk adım, hedef ağın topolojisini ve domain controller'ın kimlik doğrulama yöntemlerini anlamak olacaktır. Hedef sistemde NTLM kullanan uygulamalar veya servisler olup olmadığını kontrol etmeniz gerekir. Aşağıdaki komutlar, bu bilgiye ulaşmanıza yardımcı olabilir:

nmap -p 135,139,445 <hedef_ip> -sV

Bu komut, hedef sistemde hangi portların açık olduğunu ve hangi servislerin çalıştığını gösterir. Port 445 genellikle SMB (Server Message Block) trafiği için kullanılır ve NTLM kimlik doğrulamasının gerçekleştiği yerdir.

İkinci adım olarak, bir kimlik doğrulama saldırısı gerçekleştirmek için gerekli araçları hazırlamak gerekmektedir. Saldırganın, ana bilgisayara köprü (bridge) olarak geçmesine olanak tanıyan paketleri oluşturması gerekecek. Bir Python scripti kullanarak, aşağıdaki gibi bir temel istek oluşturulabilir:

import requests

url = "http://<hedef_controller>/login"
data = {
    "username": "attacker",
    "password": "fake_password"
}

response = requests.post(url, data=data)

print(response.content)

Bu kod, bir HTTP isteği ile saldırganın kimlik bilgilerini domain controller'a göndermesine olanak tanır. Burada önemli olan, gönderilen bilgilerin hedef sistem tarafından kabul edilip edilmediğidir. Eğer sistem yanıltılabilirse, bu durum saldırganın hedefe erişmesine olanak tanır.

Üçüncü adım ise, LSA üzerinde seçilen kimlik doğrulama mekanizmasına yönelik daha kapsamlı bir saldırı gerçekleştirebilmektir. Gerçekleştirilen NTLM gönderimleri, hedef sisteme sahte bir kullanıcı gibi görünmesine neden olabilir. Bunun için, LSA’yı manipüle eden ve NTLM kimlik doğrulaması yapan bir aracın ayarlanması gerekecektir. Kendi NTLM kuyruk paketlerinizi oluşturmak için çeşitli kütüphanelerden faydalanabilirsiniz, örneğin:

apt-get install impacket

Impacket kütüphanesi, SMB ve NTLM gibi protokolleri kullanarak doğrudan belirlenen hedeflere erişim sağlama yeteneği sunar.

Dördüncü adım, güvenli bağlantıları ve kimlik doğrulama yanıtlarını sürekli olarak izlemektir. Saldırı sonrasında, sistemde belirli izleri inşa etmiş olursunuz; bu nedenle, eriştiğiniz bilgilerin bir şekilde doğrulanmasını sağlamak önemlidir.

Sonuç olarak, CVE-2022-26925 zafiyeti, siber güvenlik tehdidi yaratan önemli bir güvenlik açığıdır. White Hat Hacker perspektifinden bakıldığında, bu açığı tespit edip düzeltmek, hem sistem güvenliğini artırmak hem de olası kötü niyetli saldırıların önüne geçmek için kritik bir adımdır. Gerekli önlemleri almak, bu tür güvenlik açıklarını azaltarak siber dünyadaki etkinizi artıracaktır.

Forensics (Adli Bilişim) ve Log Analizi

Microsoft Windows LSA (Local Security Authority) Spoofing Vulnerability, CVE-2022-26925 koduyla bilinen bir zafiyettir. Bu zafiyet, bir saldırganın bir alan denetleyicisinin (domain controller) kendisini saldırgana tanıtmasını sağlayarak NTLM (NT LAN Manager) kimlik doğrulaması yapmasını sağlaması üzerinde odaklanmaktadır. Bu tür bir zafiyet, siber suçluların bir sistemi ele geçirmesi veya hassas verilere erişim sağlaması açısından tehlikeli bir açılım yaratır.

Bir siber güvenlik uzmanı olarak, bu tür bir saldırının gerçekleştiğini belirlemek, Log analizi ve adli bilişim (forensics) süreçlerinin önemli bir parçasıdır. Öncelikle, bu zafiyetin neden olduğu bir saldırının nasıl işlediğine dair bir anlayış geliştirmek faydalı olacaktır. Bir saldırgan, bir alan denetleyicisine sahte bir kimlik doğrulama isteği gönderir ve eğer sistem yanlış yapılandırılmışsa, bu isteği kabul eder. Sonuç olarak, saldırganın kimlik bilgileri geçerli hale gelebilir.

Bu saldırının tespit edilmesi için, bir siber güvenlik uzmanı öncelikle Log dosyalarında belirli imzalara (signature) bakmalıdır. Bu imzalar, saldırının varlığını tespit etmekte yardımcı olabilir. Aşağıda, önemli log türlerini ve incelenmesi gereken kritik noktaları sıraladık:

  1. Access Log (Erişim Günlüğü): Erişim günlüğü, kullanıcıların sistemdeki çeşitli kaynaklara yaptığı erişim isteklerini kaydeder. Saldırıya ilişkin anormallikler burada fark edilebilir. Örneğin, tanımadığınız bir IP adresinden gelen NTLM kimlik doğrulama istekleri dikkatle incelenmelidir. Eğer kimlik doğrulamanın yapıldığı alan denetleyicisi ile ilişkilendirilemeyen bir kullanıcı hesabı veya IP adresi tespit ederseniz, potansiyel bir saldırı işareti olabilir.

    2022-10-10 12:45:21 - NTLM Auth - Untrusted IP: 192.168.1.100 User: unknown

  2. Error Log (Hata Günlüğü): Hata günlükleri, sistem hataları ve yetkilendirme hataları gibi sorunları kaydeder. Burada, LSA'nın yanlış yapılandırma veya beklenmedik bir hata vermesi durumunda dikkat çekici uyarılar görünebilir. “NTLM authentication error” mesajları, şüphe uyandıran durumlar olarak değerlendirilmelidir.

    2022-10-10 12:45:30 - NTLM authentication error - User not found

  3. Security Log (Güvenlik Günlüğü): Güvenlik günlükleri, kimlik doğrulama ve yetkilendirme süreçlerine dair detayları kaydeder. Burada, olağandışı oturum açma girişimleri veya birden fazla başarısız giriş denemesi dikkat çekici olabilir. Özellikle, bir kullanıcı hesabına ait çeşitli tarih ve saatlerde yapılan başarısız giriş denemeleri, brute force (zorla tahmin etme) saldırılarına işaret edebilir.

    2022-10-10 12:45:35 - Security Log - Failed Login: User xyz@domain.com (Attempts: 5)

  4. Network Traffic Analysis (Ağ Trafik Analizi): Saldırının meydana geldiği anlarda, ağ trafiğinde yüksek miktarda NTLM sorgusu veya olağandışı veri aktarımları gözlemlenebilir. Bu tür aktiviteler, saldırının etkisini değerlendirmek ve hızlı bir şekilde müdahale etmek için hayati öneme sahiptir.

Saldırı sonrası, sistem yöneticileri ve güvenlik uzmanları, anormallikleri tespit ettikten sonra hızlı bir analiz yapmalı, riskleri azaltmak için gerekli önlemleri almalılardır. Bu süreç, sistemin güvenliğini sağlamak ve olası bir veri ihlalinin önüne geçmek için oldukça önemlidir. Özellikle, güncel anti-virüs yazılımlarının ve izleme araçlarının kullanımı, potansiyel saldırıları erken tespit etmek adına kritik bir rol oynar. Uygun yapılandırmalar yaparak, LSA ve NTLM gibi zafiyetleri minimize etmek mümkündür.

Savunma ve Sıkılaştırma (Hardening)

Microsoft Windows Large Security Authority (LSA) spoofing zafiyeti, kötü niyetli bir saldırganın bir alan denetleyicisinin (domain controller) kimliğini taklit ederek NTLM (NT Lan Manager) ile saldırgana kimlik doğrulaması yapmasını sağlamasına olanak tanır. Bu tür bir güvenlik ihlali, özellikle kurumsal ağlarda ciddi tehditler oluşturabilir. Saldırganın, ağa bağlı sistemleri kontrol etme yeteneği, hassas bilgilere erişimi ve potansiyel olarak uzaktan kod çalıştırma (RCE - Remote Code Execution) gibi daha ciddi sonuçlara yol açabilme potansiyeline sahiptir.

Zafiyetin etkili bir şekilde giderilmesi için birkaç adım atılmalıdır. İlk olarak, LSA'nın güvenliğini artırmak amacıyla mühendislik uygulamalarında “Credential Guard” özelliğini etkinleştirmek önemlidir. Bu özellik, Windows 10 ve sonrası sürümlerde yerel ilişkili kullanıcı kimlik bilgilerinin koruma altında tutulmasını sağlayarak, LSA'da meydana gelebilecek taklit saldırılarını önlemeye yardımcı olur.

Ayrıca, sistem yöneticileri kimlik doğrulama yöntemlerini gözden geçirmelidir. NTLM yerine Kerberos protokolü kullanmak, ilişkili zafiyetlerden kaçınmanın bir yoludur. NTLM, günümüz siber tehditlerine karşı daha savunmasız kalmıştır. Bu nedenle, mümkünse ağ içinde Kerberos'un kullanımı artırılmalı ve NTLM güncellemeleri sağlanmalıdır.

Alternatif bir yaklaşım olarak, güvenlik duvarı (WAF - Web Application Firewall) kuralları güncellenebilir. Sistemin giriş noktasında kimlik denetimi ve yetkilendirme işlemleri için aşağıdaki gibi bir yapılandırma yapılabilir:

# Güvenlik Duvarı Kuralı Örneği 
iptables -A INPUT -p tcp -s [IP_ADRESİ] --dport [PORT_NUMARASI] -j REJECT

Burada, belirli IP adreslerinden gelen isteklere kısıtlama getirerek yetkisiz erişim denemelerini azaltabilirsiniz. Ek olarak, ağ içinde veri akışını izlemek için Intrusion Detection Systems (IDS) kullanabilirsiniz. Bu tür sistemler, şüpheli aktiviteleri tanımlamak ve raporlamak için oldukça yararlıdır.

Diğer bir kalıcı sıkılaştırma önerisi ise LSA hizmetinin varsayılan yapılandırmalarını değiştirmektir. Örneğin, aşağıdaki Windows Registry ayarlarını güncelleyerek LSA'nın performansını artırabiliriz:

# LSA Hizmetini Sertleştirme
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v Lsa /t REG_DWORD /d 1 /f

Bu ayar, sistemdeki LSA hizmetinin daha güvenli olmasını sağlar ve kimlik doğrulama işlemlerinin daha sağlam bir şekilde gerçekleştirilmesine yardımcı olur.

Süreklilik, güvenliğe yönelik stratejilerde anahtar bir unsurdur. Bu nedenle, sistem yöneticilerinin düzenli olarak yazılım güncellemelerini takip etmeleri ve güvenlik yamalarını zamanında uygulamaları gerekmektedir. Yama yönetimi, zafiyetlerin potansiyel açığa çıkmasına karşı ilk savunma hattı olarak düşünülebilir. Ayrıca, sistemin düzenli olarak güvenlik testi (penetrasyon testi) yapılarak potansiyel zayıflıkların belirlenmesi de son derece önemlidir.

Sonuç olarak, Microsoft Windows LSA spoofing zafiyetinin etkilerini en aza indirmek için güvenlik katmanlarını artırmak, kimlik doğrulama yöntemlerini optimize etmek ve sürekli izleme ile riskleri azaltmak gereklidir. Eğitimle güçlendirilmiş bir güvenlik kültürü, kullanıcıların bilinçli kararlar almasına ve şüpheli aktivitelerin raporlanmasına yardımcı olabilir.