2871997 Microsoft Güvenlik Bülteni ve Mimikatz
Mimikatz ve WCE (Windows Credentials Editor) gibi araçlar kullanılarak RAM üzerindeki kullanıcı adı ve parola bilgileri açık olarak elde edilebilmektedir. Konu ile ilgili ayrıntılı için, Bilgi Güvenliği Kapısı'ndaki "Bellekten Parolaların Elde Edilmesi:" yazıları incelenebilir [1][2][3].
Microsoft ve Mimikatz'ın Karşılıklı Güncelleştirme Adımları
Microsoft, bellek üzerinden parolaların açık halinin elde edilmesini önlemek için 13 Mayıs 2014 tarihinde 2871997 numaralı en önemli ilk güncelleme bültenini yayınlamıştır [4]. Bu güncelleştirme paketi [5] Windows 8, Windows RT, Windows Server 2012, Windows 7 ve Windows Server 2008 R2 işletim sistemlerindeki kimlik hırsızlığını azaltmak için hazırlanmıştır. Bu yama sonrasında, Microsoft tarafından, 2973351 [6] ve 2975625 [7] güncelleştirmeleri de yayınlanmıştır.Microsoft tarafından yayınlanan bu yamalardan sonra, Benjamin Delpy tarafından da Mimikatz'in 2.0 versiyonu yayınlanmıştır. Bu yazıda da hem Mimikatz 1.0, hem de Mimikatz 2.0 sürümleri kullanılmıştır.
İncelemeler Sırasında Kullanılan Ortam Hakkında Bilgi
Yazının amacı, Microsoft tarafından yayınlanan yamaların etkisini incelemektir. Bu inceleme sırasında işletim sistemi sürümü ve mimarisi, yamanın geçilme durumu, kullanılan Mimikatz sürümü, birbirinden farklı olan etki alanı ortamları kriterleri temek alınmıştır. İnceleme kriterleri şu şekildedir:- İşletim Sistemi Sürümü: Windows 7 Enterprise, Windows 8 Enterprise, Windows 2008 R2 Enterprise, Windows 2012 Data Center
- İşletim Sistemi Mimarisi: 64 bit, 32 bit
- Güncelleme Durumu: Yaması gerçekleştirilmemiş, Yaması gerçekleştirilmiş
- Mimikatz Sürümü: 1.0 ve 2.0
- Etki alanı: WORKGROUP ve Ornek.local
- Kullanıcı: Yerel bir yönetici kullanıcısı (WORKGROUP\Yonetici), etki alanında yönetici olan bir kullanıcı (ORNEK\DomainAdmin)
Bir İncelemede Gerçekleştirilen Adımlar
İnceleme temel olarak 2 adımdan oluşmaktadır. İlk adımda yaması yapılmamış işletim sisteminde Mimikatz 1.0 ve 2.0 araçları kullanılmış ve parolaların elde edilip edilmediği sonucu not edilmiştir. İkinci adımda ise, Microsoft tarafından yayınlanan yama gerçekleştirilmiş olan işletim sisteminde Mimikatz 1.0 ve 2.0 araçları kullanılmış ve parolaların elde edilip edilmediği sonucu not edilmiştir.İlk adımda; Microsoft tarafından hazırlanan yamaları yapılmamış olan "W7-Pro-SP1-x64-15GB" adındaki bir bilgisayarda "Yonetici" adlı bir yerel yönetici kullanıcısı ile oturum açılmıştır. Bu bilgisayardan, "W7-Ent-x86-15GB" adlı bilgisayara da "UzakYonetici" adlı bir yerel yönetici kullanıcısı ile RDP yoluyla bağlantı kurulmuştur. Bu durumdayken Mimikatz aracı kullanıldığında aşağıdaki gibi ekran görüntüleri elde edilmiştir.
İlk ekran görüntüsü eski sürüm Mimikatz ile, ikinci ekran görüntüsü ise yeni sürüm Mimikatz ile elde edilmiştir:
 |
| Şekil - 1: Microsoft güncellemesi yapılmamış bir bilgisayarda Mimikatz 1.0 aracının çalıştırılması |
 |
Şekil - 2: Microsoft güncellemesi yapılmamış bir bilgisayarda Mimikatz 2.0 aracının çalıştırılması
|
İkinci adımın gerçekleştirilmesi için ilgili güncelleme paketi indirilerek işletim sistemi yaması gerçekleştirilmiştir.
 |
| Şekil - 3: Microsoft güncellemesinin gerçekleştirilmesi |
İkinci adımda ise, yama işlemi sonrasında ilk adımdaki durumlar (oturum açılması ve RDP gerçekleştirilmesi) sağlandıktan sonra, Mimikatz 1.0 ve 2.0 sürümlerinin çalıştırılmasına ait ekran görüntüleri aşağıdaki gibidir:
 |
| Şekil - 4: Microsoft güncellemesi yapılmış bir bilgisayarda Mimikatz 1.0 aracının çalıştırılması |
 |
| Şekil - 5: Microsoft güncellemesi yapılmış bir bilgisayarda Mimikatz 2.0 aracının çalıştırılması |
Microsoft tarafından gerçekleştirilen güncelleme sonrasında WCE kaynak kodunda herhangi bir geliştirme gerçekleştirilmemiştir. Eski sürüm WCE ve son sürüm WCE aracıyla gerçekleştirilen incelemelerin sonucu aşağıdaki gibidir.
 |
| Şekil - 6: Microsoft güncellemesi yapılmamış bir bilgisayarda eski ve yeni sürüm WCE aracının çalıştırılması |
 |
| Şekil - 7: Microsoft güncellemesi yapılmış bir bilgisayarda eski ve yeni sürüm WCE aracının çalıştırılması |
Ekran görüntülerinde de görüldüğü gibi, Microsoft yamasının öncesinde ve sonrasında WCE aracıyla parolalar elde edilebilmektedir. Ancak RDP yapılan bilgisayara bağlantı bilgileri WCE aracıyla elde edilememektedir.
Tüm İnceleme Sonuçlarının Listelenmesi
Gerçekleştirilen incelemeler sonucunda aşağıdaki gibi bir tablo elde edilmiştir: |
| Şekil - 8: Microsoft güncellemelerinin incelenmesine ait tablo |
Not: Yaması yapılmış Windows Server 2012 Data Center'da msv1_0 üzerinden parola özeti elde edilememektedir. Ancak genelleme bozulmaması için bu durum ihmal edilmiştir. Ayrıca, yaması geçilmiş bu işletim sisteminde WCE aracı düzgün olarak çalışmamaktadır.
Sonuçlardan da görüldüğü gibi, 2871997 ve sonraki 2 yama kimlik bilgisi hırsızlığını azaltmıştır. Ancak, parolalar wdigest ve ssp adlı sağlayıcılar üzerinden açık, msv1_0 üzerinden ise özet olarak elde edilebilmektedir.
[1] http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/bellekten-parolalarin-elde-edilmesi-1.html
[2] http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/bellekten-parolalarin-elde-edilmesi-2.html
[3] http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/bellekten-parolalarin-elde-edilmesi-3.html
[4] https://technet.microsoft.com/library/security/2871997
[5] https://support.microsoft.com/kb/2871997
[6] https://support.microsoft.com/kb/2973351
[7] https://support.microsoft.com/kb/2975625
