Güvenlik firması, Microsoft'un NTLM.v1 karma algoritması ile korunan zayıf yönetici parolalarını kırmaya imkan tanıyan bir veri tabanı yayınladı. Bu adım, bilinen güvenlik açıkları olmasına rağmen hala bu eski fonksiyonu kullanan kullanıcıları uyarmayı amaçlıyor.
Bu veri tabanı, önceden hesaplanmış karma değerlerinin karşılık gelen düz metinlerle eşleştirildiği bir rainbow table (gökkuşağı tablosu) şeklinde sunuluyor. Bu tür genel tablolar, birden fazla karma şemasına karşı çalışarak, çalınan bir karmayı parola karşılığına hızla eşleyerek saldırganların hesapları ele geçirmesine olanak tanıyor. NTLMv1 rainbow tabloları, NTLMv1'in sınırlı anahtar alanı nedeniyle özellikle kolayca oluşturulabiliyor. Bu, karma fonksiyonunun izin verdiği nispeten küçük parola sayısı anlamına geliyor. NTLMv1 rainbow tabloları yirmi yıldır mevcut olmasına rağmen, genellikle kullanımları için büyük miktarda kaynak gerektiriyordu.
Güvenlik Uzmanları İçin Yeni Silah
Güvenlik firması, kullanıcı ve araştırmacıların yanı sıra kötü niyetli saldırganların da tüketici donanımıyla 12 saatten kısa sürede parolaları kurtarabilmesini sağlayacak bir NTLMv1 rainbow tablosu yayınladığını duyurdu. Tablo, Google Cloud üzerinde barındırılıyor. Bu veri tabanı, SMB ağ paylaşımı gibi kaynaklara erişim için ağ kimlik doğrulamasında kullanılan Net-NTLMv1 parolalarına karşı etkili oluyor.
Uzun süredir kolayca kırılabildiği bilinmesine rağmen, NTLMv1 hala bazı hassas ağlarda kullanılıyor. Bunun bir nedeni, sağlık hizmetleri ve endüstriyel kontrol gibi sektörlerdeki bazı araçların ve kuruluşların, daha yeni karma algoritmalarıyla uyumlu olmayan eski uygulamalara bağımlı olması. Bir diğer neden ise, kritik sistemlere sahip kuruluşların geçiş için gereken kesintiyi göze alamaması. Elbette, atalet ve maliyetten kaçınma gibi nedenler de rol oynuyor.
Yayınlanan tablolarla, güvenlik profesyonellerinin Net-NTLMv1'in güvensizliğini gösterme bariyerini düşürmeyi hedeflediklerini belirten firma, bu protokolü istismar eden araçlar yıllardır mevcut olsa da, genellikle hassas verileri üçüncü taraf hizmetlere yüklemeyi veya pahalı donanımlarla anahtarları kırmaya zorladıklarını ekledi.
Microsoft, NTLMv1'i ilk olarak 1980'lerde OS/2 ile birlikte piyasaya sürmüştü. 1999 yılında yapılan araştırmalar, NTLMv1'in temelinde önemli güvenlik açıklarını ortaya çıkardı. 2012'de yapılan bir konferansta araştırmacılar, saldırganların temel zayıflığı hedef alarak güvenilmeyen ağdan yönetici seviyesine 60 saniyede geçmelerini sağlayan bir araç seti yayınladılar. Microsoft'un 1998'de Windows NT SP4'ü piyasaya sürmesiyle NTLMv2 tanıtıldı ve bu zayıflığı giderdi.
Yalnızca Windows ağlarına bağımlı kuruluşlar değil. Microsoft, geçtiğimiz Ağustos ayında NTLMv1'in kullanımdan kaldırılacağına dair planlarını duyurdu.
NTLMv1'in zayıf olduğunun kamuoyunda bilinmesine rağmen, firmanın danışmanlarının aktif ortamlarda hala bu protokolün kullanıldığına tanık olduğu belirtildi. Bu eski protokolün, atalet ve acil bir risk göstergesinin eksikliği nedeniyle hala yaygın olmasının, kuruluşları kolay kimlik bilgisi hırsızlığına karşı savunmasız bıraktığı ifade edildi.
Tablolar, saldırganların öncelikle 1122334455667788 gibi bilinen düz metinler için bayt bazında karma sonuçları sağlamasına yardımcı oluyor. Net-NTLM karmaları, kullanıcı parolasının ve karma işleminin üretilmesiyle oluşturulduğundan, bilinen düz metin saldırısıyla bu tablolarla hesapları ele geçirmek oldukça kolaylaşıyor. Genellikle Responder, PetitPotam ve DFSCoerce gibi araçlar Net-NTLM'ye karşı saldırılarda yer alıyor.
Bir platformda yapılan paylaşımda araştırmacılar ve yöneticiler, bu hamleyi memnuniyetle karşıladıklarını belirterek, bunun karar vericileri güvensiz fonksiyondan uzaklaşmak için yatırım yapmaya ikna etmekte onlara ek bir argüman sağlayacağını söylediler.
Bir kullanıcı, “Güvenlik kariyerimde, bir sistemin zayıflığını kanıtlamak zorunda kaldığım birden fazla durum oldu ve bu genellikle ertesi sabah masalarına şifrelerinin yazılı olduğu bir kağıt bırakmamı gerektiriyordu” dedi. “Bu gökkuşağı tabloları saldırganlar için pek bir anlam ifade etmeyecek, çünkü muhtemelen zaten onlara sahipler veya çok daha iyi yöntemleri var, ancak NTLMv1'in güvensiz olduğunu gösterme argümanını güçlendirmede yardımcı olacak.”
Firma tarafından yapılan paylaşım, NTLMv1'den nasıl uzaklaşılacağına dair temel adımları içeriyor ve daha ayrıntılı talimatlara bağlantı veriyor.
“Kuruluşlar Net-NTLMv1 kullanımını derhal devre dışı bırakmalıdır” denildi. Bu uyarıya uymayarak hacklenen kuruluşlar bunun sorumluluğunu kendileri üstlenmek zorunda kalacaklar.
