CVE-2023-23397 · Bilgilendirme

Microsoft Office Outlook Privilege Escalation Vulnerability

CVE-2023-23397, Microsoft Outlook'ta NTLM Relay saldırısıyla kullanıcı yetkisi kazanmaya olanak tanıyan bir zafiyettir.

Üretici
Microsoft
Ürün
Office
Seviye
yüksek
Yayın Tarihi
03 Nisan 2026
Okuma
9 dk okuma

CVE-2023-23397: Microsoft Office Outlook Privilege Escalation Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

Microsoft Office Outlook, dünya genelinde yaygın olarak kullanılan bir e-posta istemcisidir. Ancak, 2023 yılı itibarıyla keşfedilen CVE-2023-23397 kodlu zafiyet, çok ciddi güvenlik sorunlarını beraberinde getirmektedir. Bu zafiyet, kullanıcının yetkilerini yükseltmesine (privilege escalation - ayrıcalık yükseltme) olanak tanıyan bir yapıya sahiptir ve özellikle NTLM Relay (NTLM İletimi) saldırılarına karşı savunmasızdır. Bu tür bir saldırı, saldırganların başka bir hizmete oturum açarak kullanıcının kimlik bilgilerini kötüye kullanmasını sağlar.

CVE-2023-23397 zafiyetinin ortaya çıkışı, birçok güvenlik kaynağı tarafından detaylandırılmıştır. Microsoft'un kendi güvenlik güncelleme notlarında, bu zafiyetin bir güvenlik açığı olduğu belirtilmiş ve zararlı bir kodun, kimlik doğrulama sürecini nasıl etkilediği anlatılmıştır. Zafiyetin temelinde yatan sorun, Outlook'un NTLM (NT LAN Manager) kimlik doğrulama mekanizmasındaki hatalardan kaynaklanmaktadır. Bu hata, saldırganların kullanıcı kimlik bilgilerini çalmalarına olanak tanımaktadır.

Bu güvenlik açığı, özellikle finans, sağlık ve kamu sektörü gibi hassas verilerin bulunduğu alanlarda ciddi sonuçlar doğurabilir. Saldırganlar, bu zafiyet aracılığıyla bir bireyin kimlik bilgilerini ele geçirip, kullanıcı yetkileriyle sistemlerde yetkisiz işlemler gerçekleştirebilirler. Örneğin, bir finans kurumunda çalışan bir kullanıcının hesabı ele geçirildiğinde, saldırganlar bu hesabı kullanarak büyük miktarda para transferleri yapabilir veya hassas verileri sızdırabilir.

Zafiyetin teknik analizi yapıldığında, NTLM kimlik doğrulama sürecinde düzgün bir şekilde kontrol edilmediği görülmektedir. Örneğin, Apache web sunucusu veya Microsoft’un Active Directory servisleri ile birlikte çalışan bir uygulama üzerinden gerçekleştirilmek istenen NTLM Relay saldırısı, sunucunun zararlı istekleri kabul etmesi ile mümkün hale gelir. Aşağıda, bu saldırı türünün bir örneğini görebiliriz:

import socket

target_ip = "192.168.1.10"  # Hedef sunucu IP adresi
target_port = 445  # SMB portu
data = b'...'  # Kimlik bilgileri ile birlikte gönderilecek veri

sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect((target_ip, target_port))
sock.send(data)

Bu örnekte, basit bir Python soket uygulaması ile belirli bir hedefe kimlik bilgileri gönderilmektedir. NTLM Relay saldırısının etkisini görmek için, hedef sistemin bu tür istekleri kabul etmesi gereklidir. Eğer sistem güvenlik kontrollerini yeterince sağlam yapmamışsa, saldırganın hedef sistem üzerinde tam yetkilerle hareket etmesine olanak tanıyacaktır.

Bunun yanı sıra, CVE-2023-23397 zafiyeti, sadece belirli bir sektör veya teknoloji ile sınırlandırılmamıştır; aksine, dünya genelindeki tüm sektörleri tehdit eden bir durum haline gelmiştir. Eğitim kurumları, sağlık hizmetleri, finansal kuruluşlar ve kamu altyapıları gibi birçok alan bu zafiyetten etkilenebilir. Sonuç itibarıyla, bu tür zafiyetlere karşı alınacak önlemler, sistem güvenliğini artıracak ve olası kötüye kullanımları minimize edecektir.

Microsoft, kullanıcıların zafiyeti gidermek için en son güncellemeleri yüklemesi gerektiğini belirtmiştir. Bu durumda, sistem yöneticileri, özellikle NTLM protokolünü kullanmamayı ve alternatif kimlik doğrulama yöntemlerine geçmeyi düşünmelidir. Aynı zamanda, güvenlik duvarları ve izleme sistemleri gibi güvenlik katmanlarını güçlendirmek, kullanıcıların bu tür saldırılara karşı korunmasını sağlayacaktır.

Teknik Sömürü (Exploitation) ve PoC

Microsoft Office Outlook üzerindeki CVE-2023-23397 güvenlik açığı, kötü niyetli kişilerin NTLM (Windows NT LAN Manager) relay saldırılarıyla yetki artırımı (privilege escalation) yaparak, başka bir hizmete bir kullanıcının kimliğiyle giriş yapmalarına olanak tanır. Bu tür bir zafiyet, özellikle hedef sistemde yeterli yetkiye sahip olmayan bir saldırganın, kimlik doğrulama sürecini manipüle ederek daha yüksek düzeyde yetkilere erişmesine yol açabilir. Aşağıda, bu zafiyetin sömürülmesi için adım adım bir kılavuz sunulmaktadır.

İlk olarak, saldırganın hangi hedefe yöneldiğine karar vermesi gerekmektedir. Hedef sistemde Microsoft Office Outlook uygulamasının yüklü olduğundan ve güncellemelerin yapılmamış olduğundan emin olun. Zafiyet, özellikle kullanıcıların kimlik bilgilerini koruyamaması durumunda kritik bir riskler doğurabilir.

Sömürü süreci aşağıdaki adımlarla gerçekleştirilebilir:

  1. Bilgi Toplama: Hedef sistem hakkında bilgi toplayarak başlayın. Saldırganın ağda var olan kullanıcı bilgilerine ve erişim noktalarına erişimini kolaylaştıracak tanımlayıcı bilgileri toplaması gerekmektedir.

  2. Sistem Taraması: Hedef sistemde çalışan hizmetleri tarayın. Şunları arayın:

  • NTLM kimlik doğrulama kullanan hizmetler.
  • Açık portlar ve çalışmakta olan servislerin belirlenmesi.
  • Potansiyel zafiyetleri tespit edebilmek için kullanılabilecek araçlar (Nmap, Nessus vb.).
  1. MS-OXPROPS Protokolü İle Kimlik Bilgileri Elde Etme: Microsoft Exchange üzerinde, Outlook kullanarak çalışacak bir oturum açma işlemi gerçekleştirin. Bu aşamada, kimlik bilgilerinizi almak için bir 'Login' talebi göndermelisiniz. Örnek bir HTTP isteği şöyle olabilir:
   POST /exchange/user@domain.com HTTP/1.1
   Host: exchange.domain.com
   Authorization: NTLM TlRMTVNT... (NTLM kimliği)

Bu aşamada, sistemin doğru bir şekilde yanıt verdiğinden emin olun.

  1. NTLM Relay Saldırısı Gerçekleştirme: Eldeki kimlik bilgilerini kullanarak, hedef başka bir hizmete yönelik NTLM relay saldırısı başlatın. Bunun için bir proxy aracılığıyla kimlik doğrulama isteklerini yakalayın. Kullanıcı kimlik bilgilerini araya alarak, hedef servislere (örneğin, web uygulamaları) yetkilendirilmiş bir istek gönderin.

  2. Kötü Amaçlı Yazılım İle Yetki Artırma: Eğer yukarıdaki aşamada başarılı olduysanız, elde ettiğiniz erişimi kötü amaçlı yazılım ile pekiştirin. Örneğin, "meterpreter" kullanarak hedef makineye erişim sağlayabilirsiniz:

   meterpreter > use exploit/windows/misc/ntlm_relay
   meterpreter > set RHOST [Hedef_IP]
   meterpreter > set USER [Kullanıcı]
   meterpreter > exploit
  1. Sonuç ve İzler: Hedef sistemde özel yetkilere erişim elde ettikten sonra, sistemle etkileşimde bulunurken izlerinizi gizlemeye dikkat edin. Log kayıtlarını temizlemek ve geri dönüş yollarını kapamak oldukça önemlidir.

Bu teknik, hem etik hackerlar tarafından zafiyetin anlaşılmasını sağlayacak bir eğitim modülü olarak kullanılabilir, hem de şirketlerin güvenlik açıklarını kapatmaları için bir çağrı niteliği taşır. Bu tür bilgiler, kesinlikle yalnızca eğitim amaçlı ve etik sonuçlar doğuracak şekilde kullanılmalıdır. Suistimallere karşı proaktif önlemler almak ve zafiyetleri gidermek, bilgi güvenliği alanında kritik bir sorumluluktur.

Forensics (Adli Bilişim) ve Log Analizi

Microsoft Office Outlook'ta bulunan CVE-2023-23397 zafiyeti, NTLM Relay (NTLM Röle) saldırılarına olanak tanıyan bir ayrıcalık yükseltme (Privilege Escalation) açığıdır. Bu tür bir saldırı, kötü niyetli bir kullanıcının, sistemdeki başka bir servise erişim sağlayarak kullanıcının kimliğiyle oturum açmasına olanak tanır. Siber güvenlik uzmanları için bu tür zafiyetlerin tespit edilmesi, tehditlerin zamanında bertaraf edilmesi açısından kritik öneme sahiptir.

Forensics (Adli Bilişim) ve log analizi, bu tür saldırıların tespiti için temel araçlardır. Microsoft Office Outlook'taki bu zafiyetin istismar edilip edilmediğini anlamak için öncelikle bir SIEM (Security Information and Event Management) veya log dosyalarına (Access Log, Error Log) erişim sağlanması gerekmektedir. Bu noktada, uzmanların dikkat etmesi gereken başlıca unsurlar aşağıda sıralanmıştır:

İlk olarak, kimlik doğrulama süreci sırasında yapılan her türlü NTLM POST isteği loglanmalıdır. Bunun için Access Log dosyalarında aşağıdaki gibi bir imza aranmalıdır:

POST / authenticate HTTP/1.1
Authorization: NTLM <encoded_Credentials>

Bu kayıtlarda, “NTLM” terimini içeren kimlik doğrulama talepleri, sistemin bu tür bir saldırıya uğradığını gösteren önemli bir belirti olabilir. Ayrıca, kötü niyetli bir kullanıcının sistem üzerinde yetki kazanmak istemesi durumunda, aynı kullanıcının farklı hizmetlere erişim sağlamaya çalıştığına dair erişim loglarında tekrarlayan talepler gözlemlenebilir.

İkincisi, kullanıcıların yetkisiz erişim taleplerini göstermesi açısından Error Log dosyaları da kritik öneme sahiptir. Örneğin, aşağıdaki hatalar sıklıkla ortaya çıkabilir:

ERROR: Unauthorized access attempt detected for user: <username>

Bu tür hatalar, belirli bir kullanıcının beklenmedik bir şekilde yetkisiz alanlara erişim sağlamaya çalıştığını gösterebilir. Özellikle, sistem yöneticileri yetki aşımı olan bu tür hataların tespiti için düzenli log analizi yapmalıdır.

Ayrıca, şifreleme algoritmalarının ve ağ trafiğinin izlenmesi, NTLM Relay saldırılarının engellenmesi açısından gereklidir. Eğer ağ trafiği içerisinde aşağıdaki gibi şifrelenmemiş kimlik bilgileri tespit edilirse, bu ciddi bir tehdit göstergesi olabilir:

GET /api/resource HTTP/1.1
Authorization: NTLM <base64_encoded_credentials>

Siber güvenlik uzmanı, şifrelenmemiş kimlik bilgileri ve hatalı kimlik doğrulama taleplerini kontrol ederek, CVE-2023-23397 zafiyetinin kötüye kullanılıp kullanılmadığını tespit edebilir. Kötü niyetli bir saldırgan, sistem üzerindeki yetkilerini artırmak için bu tür açığı aktif bir şekilde hedef alacaktır.

Son olarak, SIEM çözümlerinin kullanımı, log analizi süreçlerini hızlandıracak ve tehditlerin tespitini kolaylaştıracaktır. SIEM araçları, olay bazlı logları birleştirerek ve analiz ederek, güvenlik uzmanlarının olası tehditleri daha hızlı adlandırmasına yardımcı olabilir. Özellikle, anomalilerin belirlenmesi, kullanıcı davranışlarının izlenmesi ve zamanla değişen log profillerinin analizi, CVE-2023-23397 gibi saldırılara karşı korunma yöntemlerinde önemli rol oynar.

Bu nedenle, Microsoft Office Outlook’taki zafiyetlerin tespiti için düzenli olarak log analizi yapılmalı ve potansiyel tehditlere karşı proaktif bir yaklaşım benimsenmelidir.

Savunma ve Sıkılaştırma (Hardening)

CVE-2023-23397 zafiyeti, Microsoft Office Outlook'un güvenlik açıklarından biridir ve potansiyel olarak ciddi sonuçlar doğurabilen bir NTLM Relay (NTLM Araç Ağı) saldırısına imkan tanır. Saldırganlar, bu zafiyeti kullanarak hedef sistemdeki kullanıcı adına başka bir hizmete kimlik doğrulaması gerçekleştirebilir. Bu tür bir saldırı, özellikle kurumsal ortamlarda kullanıcının erişim yetkilerini kötüye kullanabilir ve ciddi güvenlik ihlallerine yol açabilir. Bu yazıda, bu zafiyetin nasıl istismar edilebileceği, nasıl önlenebileceği ve uygulama tabanlı güvenliği artıran sıkılaştırma yöntemleri üzerinde durulacaktır.

Öncelikle, zafiyetin nasıl çalıştığını ele alalım. Bir saldırgan, hedef sistemdeki Outlook istemcisini manipüle ederek kurbanın kimlik bilgilerini başka bir hizmette (örneğin, bir dosya sunucusu veya bir uygulama sunucusu) kullanabilir. Bu senaryo, kurbanın kurumsal ağda yetkili bir kullanıcı olduğu durumlarda ciddi sonuçlar doğurabilir. Örneğin, bir saldırganın, bir kullanıcı bir phishing (oltalama) e-postasına tıkladığında, Outlook üzerinden NTLM kimlik bilgilerini ele geçirmesi ve ağ üzerindeki önemli verilere erişim sağlaması mümkündür.

Zafiyetin etkilerini minimize etmek ve bu tür saldırılara karşı koymak için birkaç önlem alınabilir. İlk olarak, Microsoft'un resmi güvenlik güncellemelerini takip etmek ve gerekli yamaları uygulamak büyük önem taşır. Bunun yanı sıra, kullanıcı eğitimlerine yatırım yapmak ve oltalama saldırılarına karşı bilinçli olmalarını sağlamak da etkilidir.

Güvenlik duvarları (firewall) ve web uygulaması güvenlik duvarları (WAF) kullanarak ağ trafiğini denetlemek de kritik bir savunma katmanı oluşturur. Örneğin, şüpheli NTLM trafiğini bloklamak veya sınırlamak üzere aşağıdaki gibi WAF kuralları oluşturulabilir:

# Sadece yerel ağdan NTLM kimlik doğrulaması yapılmasına izin ver
SecRule REQUEST_HEADERS:Authorization "NTLM" "id:1000001,phase:1,deny,status:403"

# Şüpheli IP adreslerine erişim kısıtlaması
SecRule REMOTE_ADDR "@ipMatch 192.168.1.100,192.168.1.101" "id:1000002,phase:1,deny,status:403"

Sıkılaştırma (hardening) işlemleri, sistemin korunmasında etkili bir diğer yöntemdir. Microsoft Office uygulamalarında bazı sıkılaştırma önerileri şunlardır:

  1. Kullanıcıların yalnızca iş gereksinimini destekleyen en düşük ayrıcalıkla çalışmasını sağlamak. Kullanıcılar, sadece günlük işlemleri için gereken yetkilere sahip olmalıdır.

  2. Güvenlik ayarlarını sıkılaştırma seçenekleri ile yapılandırmak. Örneğin, Outlook'ta HTML ve resimlerin otomatik olarak yüklenmesini devre dışı bırakmak, çeşitli oltalama saldırılarına karşı koruma sağlayabilir.

  3. NTLM yerine Kerberos (Kerberos) gibi daha güvenli kimlik doğrulama protokollerine geçiş yapmak. Kerberos, NTLM’ye göre çok daha güvenli bir alternatif sunar.

  4. Güvenlik güncellemelerini düzenli olarak uygulamak. Microsoft, Office ürünleri için sürekli güncellemeler yayınlamaktadır ve bu güncellemelerin uygulanması, zafiyetlerin istismar edilme riskini azaltır.

Son olarak, ağ ve sistem izleme araçlarını kullanarak şüpheli etkinlikleri tespit etmek ve yanıt vermek de önemlidir. Bu tür araçlar, olası NTLM Relay saldırılarını tespit etmede etkili olabilir ve incident response (olay müdahale) süreçlerinin etkinliğini artırabilir.

Bu öneriler, CVE-2023-23397 gibi zafiyetlere karşı daha güçlü bir güvenlik duruşu oluşturmak için kritik öneme sahiptir. Unutulmamalıdır ki, güvenlik tek bir çözümle sağlanamaz; çok katmanlı bir yaklaşım benimsemek her zaman en iyi sonuçları verir.