2871997 Microsoft Güvenlik Bülteni ve Mimikatz

Mimikatz ve WCE (Windows Credentials Editor) gibi araçlar kullanılarak RAM üzerindeki kullanıcı adı ve parola bilgileri açık olarak elde edilebilmektedir. Konu ile ilgili ayrıntılı için, Bilgi Güvenliği Kapısı’ndaki “Bellekten Parolaların Elde Edilmesi” yazıları incelenebilir [1][2][3].
Microsoft, bellek üzerinden parolaların açık halinin elde edilmesini önlemek için 13 Mayıs 2014 tarihinde 2871997 numaralı en önemli ilk güncelleme bültenini yayınlamıştır [4]. Bu güncelleştirme paketi [5] Windows 8, Windows RT, Windows Server 2012, Windows 7 ve Windows Server 2008 R2 işletim sistemlerindeki kimlik hırsızlığını azaltmak için hazırlanmıştır. Bu yama sonrasında, Microsoft tarafından, 2973351 [6] ve 2975625 [7] güncelleştirmeleri de yayınlanmıştır.

Microsoft tarafından yayınlanan bu yamalardan sonra, Benjamin Delpy tarafından da Mimikatz’in 2.0 versiyonu yayınlanmıştır. Bu yazıda da hem Mimikatz 1.0, hem de Mimikatz 2.0 sürümleri kullanılmıştır.

Yazının amacı, Microsoft tarafından yayınlanan yamaların etkisini incelemektir. Bu inceleme sırasında işletim sistemi sürümü ve mimarisi, yamanın geçilme durumu, kullanılan Mimikatz sürümü, birbirinden farklı olan etki alanı ortamları kriterleri temek alınmıştır. İnceleme kriterleri şu şekildedir:

  • İşletim Sistemi Sürümü: Windows 7 Enterprise, Windows 8 Enterprise, Windows 2008 R2 Enterprise, Windows 2012 Enterprise 
  • İşletim Sistemi Mimarisi: 64 bit, 32 bit 
  • Güncelleme Durumu: Yaması gerçekleştirilmemiş, Yaması gerçekleştirilmiş 
  • Mimikatz Sürümü: 1.0 ve 2.0 
  • Etki alanı: WORKGROUP ve Ornek.local 
  • Kullanıcı: Yerel bir yönetici kullanıcısı (WORKGROUPYonetici), etki alanında yönetici olan bir kullanıcı (ORNEKDomainAdmin) 

Microsoft tarafından hazırlanan yamaları yapılmamış olan “W7-Pro-SP1-x64-15GB” adındaki bir bilgisayarda “Yonetici” adlı bir yerel yönetici kullanıcısı ile oturum açılmıştır. Bu bilgisayardan, “W7-Ent-x86-15GB” adlı bilgisayara da “UzakYonetici” adlı bir yerel yönetici kullanıcısı ile RDP yoluyla bağlantı kurulmuştur. Bu durumdayken Mimikatz aracı kullanıldığında aşağıdaki gibi ekran görüntüleri elde edilmiştir.

İlk ekran görüntüsü eski sürüm Mimikatz ile, ikinci ekran görüntüsü ise yeni sürüm Mimikatz ile elde edilmiştir:

Şekil 1 – Microsoft güncellemesi yapılmamış bir bilgisayarda Mimikatz 1.0 aracının çalıştırılması 

Şekil 2 – Microsoft güncellemesi yapılmamış bir bilgisayarda Mimikatz 2.0 aracının çalıştırılması

Sonuç olarak, ekran görüntüsünde de görüldüğü gibi, kimlik bilgileri 5 adet güvenlik destek sağlayıcısı (Security Support Provider – SSP) tarafından elde edilebilmiştir. “Yonetici” kullanıcısına ait parola “Aa123456” olarak elde edilmiş iken, “UzakYonetici” kullanıcısına ait parola ise “Bb123456” olarak elde edilmiştir.

Daha sonra da ilgili güncelleme paketi indirilerek işletim sistemi yaması gerçekleştirilmiştir.

Şekil 3 – Microsoft güncellemesinin gerçekleştirilmesi 

Yama işlemi sonrasında RDP işlemi gerçekleştirildikten sonra Mimikatz 1.0 ve 2.0 sürümlerinin çalıştırılmasına ait ekran görüntüleri aşağıdaki gibidir:

Şekil 4 – Microsoft güncellemesi yapılmış bir bilgisayarda Mimikatz 1.0 aracının çalıştırılması 

 Şekil 5 – Microsoft güncellemesi yapılmış bir bilgisayarda Mimikatz 2.0 aracının çalıştırılması 

Microsoft tarafından gerçekleştirilen güncelleme sonrasında WCE kaynak kodunda herhangi bir geliştirme gerçekleştirilmemiştir. Eski sürüm WCE ve son sürüm WCE aracıyla gerçekleştirilen incelemelerin sonucu aşağıdaki gibidir.

Şekil 6 – Microsoft güncellemesi yapılmamış bir bilgisayarda eski ve yeni sürüm WCE aracının çalıştırılması 

Şekil – 7: Microsoft güncellemesi yapılmış bir bilgisayarda eski ve yeni sürüm WCE aracının çalıştırılması 

Ekran görüntülerinde de görüldüğü gibi, Microsoft yamasının öncesinde ve sonrasında WCE aracıyla parolalar elde edilebilmektedir. Ancak RDP yapılan bilgisayara bağlantı bilgileri WCE aracıyla elde edilememektedir.

Gerçekleştirilen incelemeler sonucunda aşağıdaki gibi bir tablo elde edilmiştir:

Şekil – 8: Microsoft güncellemelerinin incelenmesine ait tablo 

Not: Yaması yapılmış Windows Server 2012 Data Center’da msv1_0 üzerinden parola özeti elde edilememektedir. Ancak genelleme bozulmaması için bu durum ihmal edilmiştir. Ayrıca, yaması geçilmiş bu işletim sisteminde WCE aracı düzgün olarak çalışmamaktadır.

Sonuçlardan da görüldüğü gibi, Microsoft tarafından yayınlanan yamalar kısmen de olsa bir iyileşme sağlasa da parolalar wdigest ve ssp adlı sağlayıcılar üzerinden açık, msv1_0 üzerinden ise özet olarak elde edilebilmektedir.

Kaynakça

Ana Sayfa

The following two tabs change content below.
Furkan Sandal
Hayata bilgisayarla gözlerini açan, linux kullanmaktan vazgeçmeyen, ömrünü siber güvenliğe atayan zaat.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir