Geçtiğimiz hafta, ABD'li önemli bir senatör, teknoloji devi Microsoft'u, geçen yıl sağlık devi Ascension'ın yaşadığı ve 140 hastanede hayati tehlike arz eden kesintilere yol açan fidye yazılımı saldırısındaki siber güvenlik ihmali nedeniyle Federal Ticaret Komisyonu'nun (FTC) soruşturma başlatması çağrısında bulundu. Bu saldırı, 5.6 milyon hastanın tıbbi kayıtlarının da saldırganların eline geçmesine neden olmuştu. Ancak Microsoft'a odaklanılan bu süreçte, Ascension'ın kendi güvenlik zafiyetlerine dair daha da acil ve daha önce açıklanmamış detaylar göz ardı edildi.
Senatör Ron Wyden (D-Ore.), FTC Başkanı Andrew Ferguson'a gönderdiği mektupta, ofisinin yaptığı incelemenin, saldırının Şubat 2024'te bir yüklenicinin bilgisayarına Microsoft'un Bing arama motorundan alınan kötü amaçlı yazılım indirilmesiyle başladığını belirlediğini açıkladı. Saldırganlar daha sonra bu bilgisayardan Ascension'ın en değerli ağ varlığı olan ve yöneticilerin kullanıcı hesapları oluşturup silmek, sistem ayrıcalıklarını yönetmek için kullandığı Windows Active Directory'ye sızdı. Active Directory'nin kontrolünü ele geçirmek, kısıtlı bir binadaki her kapıyı açan anahtarı elde etmekle eşdeğerdir.
Wyden, üç dekattır desteklenen ve güvensiz bir şifreleme kullanan Kerberos kimlik doğrulama protokolünün eski sürümünü Microsoft'un hala desteklemesini sert bir dille eleştirdi. Senatörün belirttiği gibi, bu durum Ascension'ın maruz kaldığı saldırı türüne müşterileri açık hale getiriyor. Active Directory'nin modern sürümleri varsayılan olarak daha güvenli bir kimlik doğrulama mekanizması kullansa da, ağdaki bir cihaz (kötü amaçlı yazılımla enfekte olmuş bir cihaz dahil) bu zayıf mekanizmayı kullanan bir kimlik doğrulama isteği gönderdiğinde varsayılan olarak daha zayıf olana geri dönecektir. Bu durum, saldırganların Kerberoasting adı verilen bir saldırı türünü gerçekleştirmesine olanak tanıdı. Wyden, saldırganların bu yöntemi kullanarak yüklenici bilgisayarından Ascension ağının güvenliğinin kalbine doğrudan sızdığını belirtti.
Bir Araştırmacı Soruyor: “Neden?”
Wyden'ın mektubunda ve sosyal medyadaki tartışmalarda yer almayan bir diğer önemli nokta ise, Wyden'ın anlatımına göre saldırının gerçekleşmesinde önemli bir rol oynayan Ascension'ın kendi payıydı. Şüpheli güvenlik kusurlarının başında zayıf bir şifre geliyor. Tanım gereği, Kerberoasting saldırıları yalnızca bir şifre kırılabilecek kadar zayıf olduğunda işe yarar. Bu da Ascension fidye yazılımı saldırganlarının ele geçirdiği şifrenin gücü hakkında soruları beraberinde getiriyor.
Kerberoasting terimini ilk kullanan araştırmacı Tim Medin, bir röportajda “Temel olarak Kerberoasting'e yol açan sorun kötü şifrelerdir,” dedi. “10 karakterlik rastgele bir şifre bile kırmak imkansız olurdu. Bu da bana şifrenin hiç de rastgele olmadığını düşündürüyor.”
Medin'in hesaplamaları, 10 karakterlik bir şifreyle mümkün olan şifre kombinasyonlarının sayısına dayanıyor. Rastgele oluşturulmuş büyük ve küçük harfler, rakamlar ve özel karakterler kullanıldığı varsayılırsa, olası kombinasyon sayısı 9510 olurdu; yani olası karakter sayısı (95), şifrede kullanılan karakter sayısı olan 10'un üssü alınarak elde edilir. Eski kimlik doğrulama mekanizmasının kullandığı güvensiz NTLM fonksiyonuyla hashlenmiş olsa bile, böyle bir şifrenin her olası kombinasyonunu denemek için bir kaba kuvvet saldırısı beş yıldan fazla sürerdi. 25 karakterlik bir şifrenin tüm olası kombinasyonlarını denemek için ise evrenin varoluş süresinden daha uzun bir zamana ihtiyaç duyulurdu.
Medin, “Şifre açıkça rastgele oluşturulmamıştı. (Ya da eğer rastgele oluşturulduysa, çok kısaydı... ki bu gerçekten garip olurdu),” diye ekledi. “Ascension yöneticileri kırılabilir bir şifre seçmiş ve Microsoft ile diğerlerinin önerdiği Yönetilen Hizmet Hesabı'nı kullanmamış.”
Ascension saldırganlarının ele geçirilen karma veriyi başarıyla çözmek için tam olarak ne kadar süre harcadığı net değil. Wyden sadece şubat 2024'te dizüstü bilgisayarın ele geçirildiğini belirtti. Ascension ise ağdaki güvenlik ihlali belirtilerini ilk olarak 8 Mayıs'ta fark ettiğini açıklamıştı. Bu, saldırının çevrimdışı bölümünün üç aya kadar sürmüş olabileceği anlamına gelir ki bu da şifrenin en azından orta derecede güçlü olduğunu gösterir. Kırma işlemi daha az zaman almış olabilir, çünkü fidye yazılımı saldırganları genellikle sistemleri şifrelemek için ihtiyaç duydukları erişimi sağlamak için haftalar veya aylar harcarlar.
Active Directory güvenliği konusunda uzman bağımsız bir araştırmacı olan Richard Gold, şifrenin gücünün şüpheli olduğunu kabul etmekle birlikte, Wyden'ın saldırı anlatımına dayanarak başka güvenlik zafiyetlerinin de muhtemel olduğunu belirtti.
“Tüm sıkıcı, gösterişsiz ama etkili güvenlik önlemleri eksikti; ağ segmentasyonu, en az ayrıcalık ilkesi, yalnızca gerekli bilgilere erişim ve hatta Microsoft tarafından önerilen varlık katmanlama gibi,” diye yazdı. “Güvenlik mimarisinin bu temel ilkeleri takip edilmiyordu. Neden?”
Gold, en önemli kusurlardan birinin ayrıcalıkların doğru şekilde atanmaması olduğunu ve bunun da muhtemelen saldırının en büyük nedeni olduğunu söyledi.
“Eski şifreleme algoritmalarının hala kullanılması ve bu saldırıda yardımcı olmaları açıkça iyi değil, ancak aşırı ayrıcalıklar çok daha tehlikeli,” diye yazdı. “Bu temelde bekleyen bir kazadır. Tek bir kullanıcının makinesinin ele geçirilmesi doğrudan alanın (domain) ele geçirilmesine yol açmamalıdır.”
Ascension, ele geçirilen şifre ve diğer güvenlik uygulamaları hakkındaki e-postalara yanıt vermedi.
Kerberos ve Active Directory 101
Kerberos, 1980'lerde iki veya daha fazla cihazın – genellikle bir istemci ve bir sunucu – güvensiz bir ağ içinde birbirlerinin kimliklerini güvenli bir şekilde kanıtlamaları için geliştirilmiştir. Protokol, geçici, sınırlı süreli biletler olarak bilinen kimlik bilgilerine dayanarak çeşitli cihazlar arasında uzun vadeli güveni önlemek için tasarlanmıştır. Bu tasarım, geçerli bir kimlik doğrulama isteğini kopyalayıp yetkisiz erişim elde etmek için yeniden kullanan tekrarlama saldırılarına karşı koruma sağlar. Kerberos protokolü, geliştiricilerin oluşturdukları uygulamaya en uygun olanları seçmelerine olanak tanıyan şifre ve algoritmaya duyarsızdır.
Microsoft'un ilk Kerberos uygulaması, şifreyi, son derece hızlı ve artık kullanımdan kaldırılmış MD4 hash fonksiyonunun tek bir yinelemesiyle oluşturulmuş bir karma ile temsil ederek kaba kuvvet saldırılarından korur. Otuz yıl önce bu tasarım yeterliydi ve o zamanki donanım daha yavaş karmaları iyi destekleyemiyordu. Modern şifre kırma tekniklerinin ortaya çıkmasıyla, en güçlü Kerberos şifreleri dışında hepsi, genellikle saniyeler içinde kırılabiliyor. Kerberos'un ilk Windows sürümü ayrıca, son 15 yıldır ciddi güvenlik açıkları iyi belgelenmiş olan ve artık kullanımdan kaldırılmış RC4 simetrik şifreleme algoritmasını da kullanıyor.
Kerberos tabanlı Active Directory kimlik doğrulamasında yer alan adımların çok basitleştirilmiş bir açıklaması şöyledir:
1a. İstemci, Windows Etki Alanı Denetleyicisine (daha spesifik olarak Etki Alanı Denetleyicisi'nin KDC olarak bilinen bir bileşenine) TGT, yani "Bilet Verme Bileti" için bir istek gönderir. İstek, ağda bulunma yetkisine sahip bir hesaptan geldiğini kanıtlamak için, istemci isteğin zaman damgasını kendi ağ şifresinin karmasıyla şifreler. Bu adım ve aşağıdaki 1b adımı, istemci Windows ağına her giriş yaptığında gerçekleşir.
1b. Etki Alanı Denetleyicisi, karma veriyi, böyle bir istek yapma yetkisine sahip kimlik bilgilerinin bir listesine karşı kontrol eder (yani ağa katılma yetkisine sahiptir). Etki Alanı Denetleyicisi onaylarsa, istemciye KRBTGT'nin, yalnızca Etki Alanı Denetleyicisi tarafından bilinen özel bir hesabın şifre karmasıyla şifrelenmiş bir TGT gönderir. Kullanıcı adı ve grup üyelikleri gibi kullanıcı bilgilerini içeren TGT, istemcinin bilgisayar belleğinde saklanır.
2a. İstemci, Microsoft SQL sunucusu gibi bir hizmete erişim gerektirdiğinde, bellekte saklanan şifrelenmiş TGT'ye eklenmiş bir istek göndererek Etki Alanı Denetleyicisine başvurur.
2b. Etki Alanı Denetleyicisi TGT'yi doğrular ve bir hizmet bileti oluşturur. Hizmet bileti, SQL veya başka bir hizmetin şifre karmasıyla şifrelenir ve hesap sahibine geri gönderilir.
3a. Hesap sahibi, şifrelenmiş hizmet biletini SQL sunucusuna veya diğer hizmete sunar.
3b. Hizmet bileti şifresini çözer ve hesabın o hizmette erişim izni olup olmadığını ve varsa hangi düzeyde ayrıcalıklara sahip olduğunu kontrol eder.
Bunun üzerine hizmet, hesaba erişim izni verir. Aşağıdaki görsel süreci gösterse de, içindeki sayılar yukarıdaki özetteki sayılarla doğrudan eşleşmemektedir.
Kavrulmak (Roasted)
2014 yılında Medin, DerbyCon Güvenlik Konferansı'nda yaptığı bir sunumda Kerberoasting adını verdiği bir saldırıyı tanıttı. Bu saldırı, geçerli herhangi bir kullanıcı hesabının (ele geçirilmiş bir hesap dahil) bir hizmet bileti isteme (yukarıdaki 2a adımı) ve şifrelenmiş bir hizmet bileti alma (2b adımı) yeteneğinden yararlanıyordu.
Ele geçirilmiş bir hesap bileti aldıktan sonra, saldırgan bileti indirir ve genellikle büyük GPU kümeleri veya çok sayıda şifre tahminleri üretebilen ASIC çipler kullanan çevrimdışı bir kırma saldırısı yürütürdü. Windows varsayılan olarak şifreleri hızlı NTLM fonksiyonunun tek bir yinelemesiyle şifrelediği için, bu saldırılar saniyede milyarlarca tahmin üretebiliyordu. Saldırgan doğru kombinasyonu tahmin ettiğinde, ele geçirilen şifreyi ele geçirilmiş hesaba yükleyebilir ve aksi takdirde erişilemeyecek olan hizmete yetkisiz erişim elde etmek için kullanabilirdi.
Kerberoasting piyasaya çıkmadan önce bile, Microsoft 2008'de Active Directory için daha yeni ve daha güvenli bir kimlik doğrulama yöntemi tanıtmıştı. Bu yöntem Kerberos'u da uyguluyordu ancak zamanla kanıtlanmış AES256 şifreleme algoritmasına dayanıyor ve varsayılan olarak karmayı 4.096 kez yineliyordu. Bu, daha yeni yöntemin çevrimdışı kırma saldırılarını çok daha az uygulanabilir hale getirdiği anlamına geliyordu, çünkü saniyede yalnızca milyonlarca tahmin yapabiliyorlardı. Ancak, daha yeni yöntemi desteklemeyen eski sistemleri bozma endişesiyle Microsoft, bunu 2020 yılına kadar varsayılan olarak sunmadı.
Ancak 2025'te bile Active Directory eski RC4/NTLM yöntemini desteklemeye devam ediyor, ancak yöneticiler Windows'u bu yöntemin kullanımını engellemek üzere yapılandırabilirler. Varsayılan olarak, Active Directory sunucusu daha zayıf yöntemi kullanan bir istek aldığında, aynı zamanda onu kullanan bir biletle yanıt verecektir. Bu seçim, Windows mimarlarının yaptığı bir ödünleşmenin sonucudur; yaygın olarak kullanılan ve yalnızca RC4/NTLM'yi kullanabilen eski cihazların sürekli desteği, ağları Kerberoasting'e açık bırakma maliyetine karşılık gelir.
Windows kullanan birçok kuruluş bu ödünleşmenin farkındadır, ancak çoğu değildir. Ascension saldırısının üzerinden beş ay geçtikten sonra, geçen ekim ayına kadar Microsoft, varsayılan geri dönüşün kullanıcıları “Kerberoasting’e daha duyarlı hale getirdiğini, çünkü şifreyi bir şifreleme anahtarına dönüştürürken tuz veya tekrarlanan karma kullanmadığını, bu da siber tehdit aktörünün daha fazla şifreyi hızlı tahmin etmesine olanak tanıdığını” nihayet uyararak duyurdu.
Microsoft, belirtilmeyen gelecekteki Windows güncellemelerinde RC4'ü “varsayılan olarak” devre dışı bırakacağını ekledi. Geçen hafta, Wyden'ın mektubuna yanıt olarak şirket, gelecek yılın ilk çeyreğinde başlayarak Windows Server 2025 kullanan Active Directory'nin yeni kurulumlarının, varsayılan olarak daha zayıf Kerberos uygulamasını devre dışı bırakacağını ilk kez açıkladı.
Medin, Microsoft'un planlarının etkinliğini sorguladı.
“Sorun şu ki, çok az kuruluş yeni kurulum yapıyor,” diye açıkladı. “Çoğu yeni şirket sadece bulutu kullanıyor, bu yüzden bu değişiklik büyük ölçüde ilgisiz.”
Ascension Hesaba Çekiliyor
Wyden, Microsoft'un daha zayıf uygulamaya varsayılan geri dönüşü desteklemeye devam etme; müşterileri Kerberoasting'e karşı savunmasız hale getiren resmi uyarıları geciktirme ve gizleme; ve Microsoft'un rehberliğinin önerdiği gibi şifrelerin en az 14 karakter uzunluğunda olmasını zorunlu kılmama kararlarına odaklandı. Ancak şimdiye kadar, saldırıyı mümkün kılan Ascension'ın zafiyetlerine neredeyse hiç dikkat çekilmedi.
Bir sağlık hizmeti sağlayıcısı olarak Ascension, muhtemelen eski tıbbi ekipmanlar kullanıyor - örneğin eski bir röntgen veya MR cihazı - ki bu da yalnızca daha eski uygulamaya sahip Windows ağlarına bağlanabilir. Ancak o zaman bile, hem Gold hem de Medin'e göre, enfekte olmuş dizüstü bilgisayardan Active Directory'ye tek-iki pivotunu önlemek için kuruluşun alabileceği önlemler vardı. Her ikisi de, saldırının en olası katkıda bulunanının kırılabilir şifre olduğunu söyledi. 14 veya daha fazla karakterlik gerçekten rastgele bir şifrenin bu kaderi yaşayabileceğini hayal etmenin zor olduğunu belirttiler.
Medin doğrudan bir mesajda, “Bence daha büyük sorun Kerberos'un arkasındaki kötü şifreler, RC4 kadar değil,” diye yazdı. “RC4 harika değil, ama iyi bir şifreyle güvendesiniz.” Devam etti:
Medin ayrıca Ascension'ın, şifreleri yönetmek için kullanılan bir Microsoft hizmeti olan Yönetilen Hizmet Hesabı ile saldırıya uğrayan hizmeti koruyabileceğini söyledi.
“MSA şifreleri rastgele oluşturulur ve otomatik olarak döndürülür,” diye açıkladı. “Bu, Kerberoasting'i %100 öldürür.”
Gold, Ascension'ın muhtemelen daha zayıf Kerberos uygulamasını ana ağında engelleyebileceğini ve yalnızca onu kullanabilecek hesapları sıkı bir şekilde kısıtlayan segmentlere ayrılmış bir bölümde destekleyebileceğini söyledi. Gold ve Medin, Wyden'ın saldırı anlatımının Ascension'ın bu ve diğer standart savunma önlemlerini, ağ saldırı tespiti dahil olmak üzere uygulamada başarısız olduğunu gösterdiğini belirttiler.
Özellikle, saldırganların şubat (yüklenicinin dizüstü bilgisayarının enfekte olduğu zaman) ile mayıs (Ascension'ın saldırıyı ilk tespit ettiği zaman) arasında tespit edilmeden kalabilmesi, şirketin ağında temel güvenlik uygulamalarını takip etmediği şüphelerini uyandırıyor. Araştırmacılara göre, bu zafiyetler muhtemelen istemci cihazlarının yetersiz bir şekilde güvenlik duvarıyla korunmasını ve ele geçirilmiş cihazların yeterince tespit edilememesini ve sağlık sağlayıcısı ağında yanal olarak hareket etmek için kullanılan Kerberoasting ve benzeri iyi bilinen tekniklerin yetersiz tespitini içeriyor.
Olması Gerekmeyen Felaket
Ascension saldırısının sonuçları yıkıcı oldu. Tıbbi personelin elektronik sağlık kayıtlarına ve ilaçlama, cerrahi prosedürler ve testler gibi temel hasta bakımı koordinasyon sistemlerine erişememesiyle, hastane çalışanları hastaları tehdit eden ihmaller bildirdi. Fidye yazılımı ayrıca 5.6 milyon hastanın tıbbi kayıtlarını ve diğer kişisel bilgilerini çaldı. Ascension sağlık ağı boyunca yaşanan aksaklıklar haftalarca devam etti.
Ascension'ın saldırı hakkında konuşmayı reddetmesi nedeniyle, Ascension'ın yanlış adımlarının ve şirketin ağ saldırısını önlemek için atabileceği önlemlerin tam bir otopsisini sağlamak için yeterli ayrıntı bulunmuyor. Ancak genel olarak, tek-iki pivotu, çeşitli iyi yerleşmiş güvenlik yaklaşımlarının uygulanmasında bir başarısızlığı gösteriyor. Bunlardan biri güvenlikte derinlik olarak bilinir. Bu güvenlik ilkesi, denizaltıların gövde delinmelerine ve gemide yangınla mücadeleye karşı katmanlı önlemlere sahip olmasının nedenine benzer. Biri başarısız olursa, diğeri tehlikeyi yine de kontrol altına alacaktır.
Diğer ihmal edilen yaklaşım - sıfır güven olarak bilinir - WIRED'ın açıkladığı gibi, saldırı girişimleri başarılı olduğunda bile “hasarı en aza indirmeye yönelik bütünsel bir yaklaşımdır”. Sıfır güven tasarımları, geleneksel, sınır zorunlu, dışarıdan sert, içeriden yumuşak ağ güvenliği yaklaşımının tam tersidir. Sıfır güven, ağın ihlal edileceğini varsayar ve bunu yine de direnecek veya uzlaşmayı içerecek dayanıklılığı inşa eder.
Tek bir Ascension'a bağlı bilgisayarın, sağlık devinin tüm ağını bu kadar yıkıcı bir şekilde çökertme yeteneği, şirketin hastalarına feci şekilde başarısız olduğunun en güçlü göstergesidir. Nihayetinde, ağ mimarları sorumludur, ancak Wyden'ın savunduğu gibi, Microsoft da Kerberoasting için riskleri ve önleyici tedbirleri daha açık hale getirmekte başarısız olduğu için suçludur.
Güvenlik uzmanı HD Moore'un bir röportajda gözlemlediği gibi, eğer Kerberoasting saldırısı fidye yazılımı hackerları için mevcut olmasaydı, “bir saldırgan için (standart Bloodhound tarzı yanal hareket, oturum açma betiklerinde ve ağ paylaşımlarında kazı yapmak vb.) onlarca başka seçenek olması muhtemeldi.” Mesele şu ki: Bir hedefin yalnızca tek bir geçerli saldırı yolunu kapatması, başkalarının da açık kalacağı anlamına gelmez.
Bunların hepsi inkâr edilemez. Ayrıca 2025'te, Ascension kadar büyük ve hassas bir kuruluşun Kerberoasting saldırısına maruz kalması için hiçbir mazeret olmadığı ve hem Ascension hem de Microsoft'un saldırıdan sorumlu olduğu da tartışılmaz.
Medin, Wyden'ın mektubuyla aynı gün yayınlanan bir yazıda, “2014'te Kerberoasting'i bulduğumda, bunun bir veya iki yıldan fazla süreceğini asla düşünmemiştim,” diye yazdı. “Yanlışlıkla, insanların kötü, modası geçmiş kimlik bilgilerini temizleyeceğini ve daha güvenli şifrelemeye geçeceğini düşünmüştüm. İşte 11 yıl sonra buradayız ve ne yazık ki hala olması gerekenden daha sık işe yarıyor.”
