Her yıl yeni güvenlik açıklığı ve saldırı çeşitlerinin siber güvenlik camiasıyla paylaşıldığı Black Hat konferasında bu yıl da gelenek bozulmadı. Sunucu ileti bloğu (SMB) dosya paylaşım protokolünü kullanan ve sadece lokal ağlarda işlevsel olduğu düşünülen bir saldırı çeşidinin on yıldan fazla süredir Internet’te de kullanıldığı ortaya çıktı.
Black Hat konferansında yapılan sunumda ilk kez açıklanan saldırıda, Active Directory veritabanının bir parçası olan Windows makinada kullanıcının bir web sayfasının ziyaret etmesinin, Windows Media Player’da bir dosya açmasının veya Outlook’da bir mail okumasının kimlik bilgilerinin ele geçirilebilir hale getirdiği ifade edildi.
SMB Relay adı verilen saldırıyı katılımcılara anlatan güvenlk araştırmacıları Jonathan Brossard ve Hormazd Billimoria, bilgileri ele geçiren saldırganın buluttakiler de dahil olmak üzere kullanıcının hesabının bulunduğu herhangi bir Windows serverında gerçek kullanıcı gibi işlem yapabileceğini belirtti.
Active Directory ağında bulunan Windows bilgisayarlar uzaktan dosya paylaşımı ve Microsoft Exchange gibi servislere erişim için otomatik olarak kullanıcı bilgilerini göndermek üzere ayarlanması bir güvenlik açığı olarak değerlendirildi. 2001 yılında saldırganlar Windows makinası ve sunucu arasına girerek kullanıcı bilgilerini ele geçirmeyi ve sunucuya komut vermeyi başardılar. Fakat bu saldırının sadece lokal ağlarda başarılı olabileceği düşünüldü. Brossard ve Billimoria ise, Internet Explorer’ın yanıltılarak kullanıcı Active Directory bilgilerini saldırganların internette kontrol ettiği bir SMB sunucusuna gönderdiğini belirledi. Brossard bu güvenlik açığının Windows ve Internet Explorer’ın tüm versiyonlarında olduğu gibi yeni çıkan Microsoft Edge tarayıcısında da bulunduğunu söyledi. Bir Microsoft yetkilisi ise ‘durumun farkında olduklarını ve konuyla ilgileneceklerini’ açıkladı.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]
