Windows’ları tehdit eden SeriousSAM güvenlik açığından korunmanın yöntemleri

Windows 11’in tanıtılması ile birlikte kullanıcılarının ilgi odağı haline gelen Microsoft, bu defa yeni bir güvenlik açığı ile gündemde.

26.07.2021 - 17:13 Yayınlanma

Windows’ları tehdit eden SeriousSAM güvenlik açığından korunmanın yöntemleri

Windows 11’in tanıtılması ile birlikte kullanıcılarının ilgi odağı haline gelen Microsoft, bu defa yeni bir güvenlik açığı ile gündemde. Geçtiğimiz günlerde ortaya çıkan bir habere göre Windows 10 ve 11 kullanıcıları, kayıt defterleri için bir tehdit oluşturan güvenlik açığı ile karşı karşıya.

Microsoft tarafından demin bir emniyet yaması yayınlanmayan güvenlik açığı SeriousSAM olarak adlandırılıyor. Bu açık düşük düzeyde izinlere sahip fena niyetli şahısların, “Pass-the-Hash” saldırısı gerçekleştirmek için Windows dosyalarına erişmesine ihtimal sağlıyor.

Siber emniyet uzmanlarından uyarı: Windows 11 indirirken dikkat!

SeriousSAM açığı CVE-2021-36934 izleme koduna sahip

Açıktan faydalanan saldırganlar, Güvenlik Hesabı Yöneticisi (SAM) ve Kayıt Defteri‘nde depolanan parolaları elde edebiliyorlar. Buna kadar fena niyetli kişiler edindikleri SYSTEM ayrıcalıklarıyla sistemde rastgele kod çalıştırabilir ışık halkası geliyorlar.

Windows 10 ve 11’in varsayılan ayarlarında yer alan SeriousSAM açığı CVE-2021-36934 izleme koduna sahip. Açığın bütün “Home Edition” kullanıcı grubunda bulunan “okuma” izinlerinde gerçekleşen bir ayar nedeniyle oluştuğu belirtiliyor.

Ortaya çıkan bu açıktan elde edilen sonuca kadar kötü niyetli kişiler, “Kullanıcı” erişimi olmadan Tescil Defterine ya da SAM’e erişim elde edebiliyor. Keza bu yerlere erişim için Mimikatz gibi araçların kullanıldığı belirtiliyor. Bu araçlar tescil defterlerini çalabiliyor ve bunları şifreleyebiliyor.

Kullanıcıların etki alanını bu şekilde ele geçirmenin saldırganlara ağ üstünde yüksek imtiyazlar vereceği düşünülüyor.

SeriousSAM güvenlik açığının etkileri nasıl azaltılır?

BT ve siber emniyet alanında hizmet veren CalCom Yazılım’ın CTO’su Dvir Goren, bu açıktan korunmak için üç ayrı yöntem sunuyor.

İlk olarak yerleşik kullanıcılar grubundan bütün kullanıcıların silinmesi gerektiğini vurgulayan CTO, bu adımın başlangıç olarak iyi olduğunu belirtiyor. Ancak yönetici kimlik bilgilerinin çalınması durumunda yapılan hamlenin koruyucu olmayacağını belirtiyor.

İkinci olarak SAM dosyalarını ve kayıt izinlerinin kısıtlanmasını öneren Goren, sisteminizde yalnızca yöneticiler için erişime müsade vermenizi açıklama ediyor. CTO, bu adımın da sorunun yalnızca bir kısmını çözeceğini açıklama ediyor. Dvir Goren, son olarak ise ağ kimlik doğrulaması içi parolaların ve kimlik bilgilerinin saklanmasına müsade verilmemesi gerektiğini açıklıyor.

Bu adımın CIS karşılaştırmalarında da önerildiğini ekleyen Goren, SAM‘de ve kayıt defterinde depolanan bir şey olmayacağından güvenlik açığı riskini adamakıllı azaltacağını öne sürüyor.

Kaynak: shiftdelete.net URL: https://shiftdelete.net/windows-10-ve-11leri-tehdit-eden-aciktan-korunmanin-yontemleri