Windows Duvar Kağıdı ile Account Hijacking Yapılabilir mi?

Windows Duvar Kağıdı ile Account Hijacking Yapılabilir mi?

Bir güvenlik araştırmacısı, Windows tema dosyalarını kullanan bir kimlik bilgisi toplamaya yarayan yeni bir yöntem ortaya çıkardı. Bir Windows duvar kağıdı konumunu uzak bir konumda bulunan bir dosyaya ayarlamak, örneğin yerel olarak mevcut bir görüntü yerine parola korumalı bir HTTP (s) sayfası, kimlik avı için kötüye kullanılabilir.

Bunun nedeni, HTTP Temel Erişim Kimlik Doğrulamasını kullanan şifre korumalı web sitesinin, duvar kağıdına erişilmeden önce, kullanıcıdan doğal olarak o web sitesi için bir şifre istemesi olabilir.

HTTP Temel Kimlik Doğrulamasına aşina olmayanlar, bir demo için örnek olarak W3’ün Jigsaw bağlantısını kullanabilir.

Web tarayıcınızda doğrudan https://jigsaw.w3.org/HTTP/Basic/ adresine gidin (kullanıcı adı ve parolanın ikisi de “guest” dir).

Artık bir web sayfası yerine, orada bir duvar kağıdı veya Windows teması olduğunu varsayıldığında ve bu URL’yi bir dosya adının beklendiği yere belirttiğinizde, bu web sitesi için aynı şekilde bir kullanıcı adı ve şifre girmeniz istenirdi.

Aslında, diğer yazılım programları da aynı şeyi yapmaktadır. Word’e uzak bir kaynak (örneğin, parola korumalı bir URL’den bir resim) eklemeyi denediğinizde, karşınıza benzer bir iletişim kutusu çıkacaktır.

Kimlik avı saldırıları? Olabilir…

Bazı açılardan, bu “amaçlanan özellik” kimlik avı saldırıları için kötüye kullanılabilir. Yerel bir sistem üzerinde bu iletişim kutusunu gören tecrübesiz bir kullanıcı, web sitesinin aksine Windows veya Microsoft Hesabı kimlik bilgilerini girerse…

Ancak, bu durumda kullanıcının gerçekten ne yaptığını bilmediğini ve ek bilgisayar güvenlik eğitimine ihtiyaç duyduğunu iddia edilebilir.

Dahası, her durumda – ister remote olarak mevcut olan bir duvar kağıdını ayarlıyor olun, ister Word belgenize bir resim ekliyor olun, parolayı isteyen web sitesinin adı açıkça görüntülenir.

Araştırmacıya göre Microsoft, “tasarım gereği bir özellik” olduğu için bu hatayı düzeltmeyeceğini belirtti, ancak güvenlik açısından önem arz ettiği için neden yapmaları gerektiği savunuluyor. HTTP Temel Kimlik Doğrulamasına izin vermenin daha iyi bir yolu nedir?

Uzak kaynakların bazı konumlara (duvar kağıtları ve temalar gibi) tamamen eklenmesine izin verme seçeneğini devre dışı bırakabilir misiniz?

Bunun yardımcı olabileceğini düşünmemin diğer tek yolu, bu tür tüm iletişim kutularına bir uyarı eklemektir.

Örneğin, bir kullanıcı HTTP Temel Kimlik Doğrulaması ile korunan bir kaynağa erişmeye çalıştığında, sistem tarafından başlatılan ve parola isteyen bir istem, bunun Windows kimlik bilgileri için bir talep olmadığını kullanıcıya açıkça belirtmelidir.

Sonuçta, (bilinmeyen) uzak kaynak veya duvar kağıdının ve kullanıcının aynı kimlik bilgilerini paylaşan Windows hesabının şansı son derece düşüktür.

NTLM “Hash-the-hash” hacklemesi: daha ciddi

Başka bir araştırmacı tarafından yürütülen daha derin bir araştırma ek bir saldırı vektörü ortaya çıkarıyor.

HTTP Temel Kimlik Doğrulaması gerektiren bir URL yerine, uzak duvar kağıdı farklı bir protokol kullanıyorsa ne olur? Örneğin, uzak duvar kağıdı / tema bir Samba (smb) paylaşımında yaşıyorsa ne olur?

Uzak bir Samba konumuna erişmeye çalışırken (ör. \\ example.com \ wallpapers \ image.jpg), Windows, kullanıcının NTLM karmalarını uzak sunucuyla arka planda paylaşarak otomatik olarak paylaşımın kimliğini doğrulamaya çalışır. Buna ” pass the hash” kimlik doğrulaması denir.

Şimdi, bu bir sorundur … Sisteminize saldırgan tarafından sağlanan bir duvar kağıdını veya bir Windows tema dosyasını eklemek, saldırganın sunucusuna bir bağlantı başlatır ve bilginiz veya açık izniniz olmadan NTLM karmalarınızı paylaşır.

NTLM karmaları şifrelenmiş olsa da, tarihin bize söylediği gibi kırılmaları o kadar uzun sürmeyebilir.

Araştırmacı, “Bir Hash-the-Hash saldırısında, gönderilen kimlik bilgileri saldırganlar tarafından toplanıyor ve daha sonra ziyaretçilerin oturum açma adı ve şifresine erişmek için şifreyi çözmeye çalışıyor,” şeklinde ekliyor.

“Daha önce örnek bir araştırma içerisinde yapılan bir testte, kolay bir şifreyi çözmek, kırılması yaklaşık 4 saniye sürdü!” diye devam ediyor.

Bu nedenle, Windows duvar kağıtları Microsoft Hesabı kimlik bilgilerinizi ele geçirebilirse, sorunun kısa cevabı “evet, ancak duruma göre değişir” olacaktır.

HTTP Temel Kimlik Doğrulamasını deneyimli kullanıcılar için tespit etmek daha kolay olabilir. Fakat “pass the hash” kimlik doğrulama saldırısı daha incedir ve otomatik yapısı, son kullanıcının kimlik bilgisi toplama saldırılarını önlemesini zorlaştırır.

Yine de unutulmaması gereken önemli bir nokta, HTTP Temel Kimlik Doğrulamasıdır. Kimlik bilgileri bir ağ üzerinden bağlantı HTTPS değils edüz metin olarak iletilir. NTLM “pass the hash” kimlik doğrulaması gerçek düz metin parolanızı değil, bir karmasını iletir…

Yine de, saldırgan artık Windows kullanıcı adınızı bildiğinden ve karma değerden Windows parolanızı tahmin edebileceğinden veya çıkarabildiğinden (parola zayıfsa) risk, “pass the hash”’i kalıtlar.

Bu nedenle kullanıcılar, güvenilmeyen kaynaklardan gelen Windows duvar kağıtlarını ve tema dosyalarını kullanmaktan kaçınmalıdır.

Kaynak :

Security-report-hacking-by-wallpaper

Related Posts

Leave a Reply