Parola sıfırlama, şüpheli bir güvenlik ihlali durumunda başvurulan ilk yöntemlerden biridir. Bu yaklaşım oldukça mantıklıdır; parolaları değiştirmek, saldırganın sisteme geri dönmek için kullandığı en belirgin yolu hızlıca kapatmanın bir yoludur. Ancak bu yöntem, sorunu her zaman tamamen çözmez. Hem Active Directory (AD) hem de hibrit Entra ID ortamlarında, parola değişiklikleri eski kimlik bilgilerini tüm kimlik doğrulama yollarında anında geçersiz kılmaz. Kısa bir zaman aralığı bile, saldırganların erişimi sürdürmesine veya yeniden bir yer edinmesine olanak tanıyabilir. Güvenlik mimarları ve BT yöneticileri için bu boşluk, olay müdahalesi sırasında gerçek sonuçlar doğurmaktadır.

Parola Sıfırlama Sonrasında Oluşabilen Güvenlik Boşluğu

Windows sistemleri, çevrimdışı oturum açmayı desteklemek için parola hash’lerini yerel olarak önbelleğe alır. Bir cihaz etki alanına yeniden bağlanmamışsa, önceki kimlik bilgisini kullanılabilir bir biçimde tutabilir. Hibrit ortamlarda, yeni parolanın Entra ID ile senkronize edilmesinden önce kısa bir gecikme de yaşanabilir. Bu durum, parola sıfırlama sonrasında üç olası durumun oluşması anlamına gelir:

  1. Kullanıcı, AD’ye bağlıyken yeni kimlik bilgisiyle oturum açmıştır. Önbelleğe alınan kimlik bilgisi deposu güncellenir ve eski hash geçersiz hale gelir.
  2. Kullanıcı, sıfırlamadan bu yana belirli bir makinede oturum açmamıştır. Eski önbelleğe alınmış kimlik bilgisi, bazı kimlik doğrulama denemeleri için hala kullanılabilir olabilir.
  3. Hibrit dağıtımlarda, parola AD’de sıfırlanmış ancak yeni hash henüz Entra ID ile senkronize edilmemiştir. Eski parola, parola hash senkronizasyon aralığı boyunca kimlik doğrulamasında kullanılabilir.
Active Directory İhlallerinde Parola Değişikliği Neden Yeterli Değildir?

Saldırganlar Bu Boşluğu Nasıl İstismar Eder?

Siber saldırganlar, kimlik doğrulama süreçlerindeki güvenlik zafiyetlerinden yararlanarak kullanıcı hesaplarına yetkisiz erişim sağlamaya çalışır. Özellikle önbelleğe alınmış kimlik bilgileri ve ele geçirilmiş parola hash’leri, saldırganların sistem içerisinde hareket etmesini kolaylaştırabilir.

1. Önbelleğe Alınmış Kimlik Bilgileri

Saldırganlar, pass-the-hash gibi yöntemlerle önbelleğe alınmış parola hash’lerinden faydalanır. Bu yöntemde, düz metin parola yerine hash’in kendisi kullanılır. Bu hash, sıfırlamadan önce yakalanmışsa, parolayı değiştirmek onu her yerde anında geçersiz kılmaz. Bu maruziyeti sınırlamak, AD ortamlarını savunmak için çok önemlidir. Güvenli self servis parola sıfırlama çözümleri, son kullanıcı kimlik doğrulamasını zorunlu kılarak sıfırlama kötüye kullanımı riskini azaltır.

Bu tür çözümler, sıfırlamanın yapıldığı cihazdaki yerel önbelleğe alınmış kimlik bilgisi deposunu hemen güncelleyerek, eski hash’in o uç noktada kullanılabilir kaldığı pencereyi kapatabilir. Bu, kimlik sapmasını tamamen ortadan kaldırmasa da, kurumsal dizüstü bilgisayarların ve uzak sistemlerin sıklıkla hedef alındığı ağ kenarında maruziyeti azaltır.

2. Aktif Oturumlar

AD kimlik doğrulaması öncelikle Kerberos biletleri aracılığıyla gerçekleştirilir ve bu biletler belirli bir süre boyunca geçerlidir. Bir kullanıcı veya saldırı zaten geçerli bir bilete sahipse, parolayı yeniden girmeden kaynaklara erişmeye devam edebilir. Bu, aktif bir oturumu olan bir saldırganın, parola değiştirilmiş olsa bile kimliğini doğrulamaya devam edebileceği anlamına gelir. Bazı durumlarda, bu pencere ek kalıcılık kurmak veya yanlamasına hareket etmek için yeterince uzundur. Oturumlar açıkça sonlandırılmadıkça (oturum kapatma, yeniden başlatma veya bilet temizleme yoluyla), erişim sıfırlamanın çok ötesinde devam edebilir.

3. Hizmet Hesapları

Kullanıcı hesaplarının aksine, hizmet hesapları genellikle uzun ömürlü parolalara sahiptir ve kritik sistemlere bağlı yükseltilmiş ayrıcalıklar taşır. Saldırganlar, Kerberoasting gibi tekniklerle bu kimlik bilgilerini ifşa edebilir veya ağda yanal hareket ederken bunları keşfedebilir. Bu hesaplar çalışan hizmetlere bağlı olduğu için, özellikle kesinti riski varsa, hızlı bir şekilde sıfırlanmaları daha az olasıdır. Bu durum, onları ilk erişim noktası kapatıldıktan sonra saldırganlar için güvenilir bir geri dönüş mekanizması haline getirir.

4. Bilet Saldırıları

Kerberos kimlik doğrulama protokolünün kullanıldığı ortamlarda, erişim tekrarlanan parola kontrolleri yerine biletler aracılığıyla kontrol edilir. Bir saldırgan bu biletleri taklit edebilirse, geçerli kimlik bilgilerine hiç ihtiyaç duymaz. Kerberos Bilet Yetkilendirme Biletini tehlikeye atarak mümkün hale gelen bir Altın Bilet saldırısı, saldırganların etki alanındaki herhangi bir kullanıcı için geçerli bilet yetkilendirme biletleri oluşturmasına olanak tanır. Gümüş Biletler ise daha hedeflidir ve bir etki alanı denetleyicisine başvurmadan belirli hizmetlere erişim sağlar. Her iki durumda da bu saldırılar parola değişikliklerini etkili bir şekilde bypass eder. Taklit edilen biletleri geçersiz kılmayacağı için kullanıcı parolalarını sıfırlamak yeterli olmaz ve altta yatan sorun giderilene kadar erişim devam edebilir.

6. İzinler

AD, büyük ölçüde Erişim Kontrol Listeleri tarafından yönlendirilir. Bir saldırgan, tehlikeye atılmış bir hesaba (veya kontrol ettiği yeni bir hesaba) diğer kullanıcıların parolalarını sıfırlama gibi haklar verirse, etkili bir şekilde bir arka kapı oluşturmuş olur. Orijinal parola değiştirilse bile, bu izinler kalır. Ayrıca, Domain Admins gibi hesaplar belirli bir şablondan izinleri devralır. AdminSDHolder nesnesindeki ACL’yi değiştiren saldırganlar, her saat SDProp tarafından izinlerinin yeniden uygulanmasını sağlayabilir.

Saldırganların Tamamen Uzaklaştırıldığından Nasıl Emin Olunur?

Bir parola sıfırlama ile bunun AD ve Entra ID genelinde senkronize olması arasındaki süre küçüktür, tipik olarak sadece birkaç dakikadır. Bu durum, saldırganların boşluğu istismar etme fırsatını ciddi şekilde sınırlar. Daha sık senkronizasyonları zorlamak da mümkündür. Ancak boşluk hala mevcuttur ve bir hesap güvenliği ihlali keşfedildiğinde, saldırganlar ek dayanak noktaları oluşturmuş olabilir.

Parola sıfırlama işlemleri tek başına yeterli olmayabilir. Bu nedenle savunma ekiplerinin, mevcut erişim oturumlarını tamamen geçersiz hale getirecek ek güvenlik adımları uygulaması gerekir.

💡Bu süreçte öncelikle:

  • Aktif kullanıcı oturumları sonlandırılmalıdır.
  • Etkilenen sistemlerde zorunlu oturum kapatma veya yeniden başlatma işlemleri uygulanarak Kerberos biletleri temizlenmelidir.
  • Daha kritik ihlal senaryolarında, sahte Kerberos biletlerini geçersiz kılabilmek için KRBTGT hesabının iki kez sıfırlanması gerekebilir.

Bunun yanı sıra yalnızca kullanıcı hesapları değil, ayrıcalıklı servis hesapları da güvenlik açısından yeniden değerlendirilmelidir.

💡Özellikle:

  • Yükseltilmiş yetkilere sahip servis hesaplarının parolaları değiştirilmelidir.
  • Sistemler yeniden etki alanına bağlandıkça uç noktalarda önbelleğe alınmış kimlik bilgileri temizlenmelidir.

Bu adımlar, saldırganların mevcut oturumları veya ele geçirilmiş kimlik doğrulama verilerini kullanmaya devam etmesini engellemek açısından kritik önem taşır.

💡Dizin içinde neyin değiştiğini gözden geçirmek de aynı derecede önemlidir. Bu, aşağıdakilerin denetlenmesi anlamına gelir:

  • Grup üyelikleri
  • Devredilen haklar ve ACL’ler
  • Ayrıcalıklı hesaplar ve roller

Parolaya güvenmeden erişimin yeniden kurulmasına izin verebilecek her şeye bakılmalıdır.

Ciddi ihlaller için, tahliyeyi garanti eden tek bir adım yoktur. Bu, oturumları kesmenin, doğru kimlik bilgilerini döndürmenin ve hiçbir gizli erişim yolunun kalmadığını doğrulamanın bir kombinasyonudur.

Active Directory ortamlarında parola değişikliği, bir ihlale müdahalenin ilk ve en kritik adımı olsa da tek başına yeterli bir çözüm değildir. Önbelleğe alınmış kimlik bilgileri, aktif Kerberos oturumları, tehlikeye atılmış hizmet hesapları ve taklit edilen biletler, saldırganların parolalar sıfırlansa bile sisteme erişmeye devam etmesine olanak tanır.

Bu nedenle etkili bir olay müdahalesi, yalnızca parola sıfırlamayı değil; oturumların sonlandırılmasını, Kerberos biletlerinin temizlenmesini, hizmet hesabı parolalarının döndürülmesini ve dizin izinlerinin titizlikle denetlenmesini de içermelidir. En önemlisi, KRBTGT hesabının sıfırlanması gibi ileri düzey adımlar, Altın Bilet gibi ciddi saldırı vektörlerini ortadan kaldırmak için hayati önem taşır.

Unutulmamalıdır ki bir güvenlik ihlali sonrası “temiz” olduğunuzdan emin olmak için tek bir adım yeterli değildir. Saldırganların kalıcı olarak uzaklaştırıldığından emin olmak, bütüncül bir yaklaşım ve titiz bir inceleme süreci gerektirir.

Yorum Yap

İlgili Yazılar

Dijital Dönüşüm Nedir? Başarılı Bir Dönüşüm İçin Adım Adım Strateji Rehberi
Dijital Dönüşüm Nedir? Başarılı Bir Dönüşüm İçin Adım Adım Strateji Rehberi
Gallery

Dijital Dönüşüm Nedir? Başarılı Bir Dönüşüm İçin Adım Adım Strateji Rehberi

n8n Nedir? Ne İşe Yarar?
n8n Nedir? Ne İşe Yarar?
Gallery

n8n Nedir? Ne İşe Yarar?

Bilişim Teknolojileri Nedir? Hangi Alanlarda Kullanılır?
Bilişim Teknolojileri Nedir? Hangi Alanlarda Kullanılır?
Gallery

Bilişim Teknolojileri Nedir? Hangi Alanlarda Kullanılır?

Spoofer Nedir? Spoofing Saldırıları ve Korunma Yöntemleri
Spoofer Nedir? Spoofing Saldırıları ve Korunma Yöntemleri
Gallery

Spoofer Nedir? Spoofing Saldırıları ve Korunma Yöntemleri

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.