Merhabalar,
Bu sayıda Windows sistemler üzerinde yetkisiz oturum elde
edilmesi konusundan bahsedeceğim.
Geçtiğimiz aylarda, yerel
yönetici hesabı ile, alan adı
hesaplarının oturumlarını şifre bilgisi olmadan elde edebildiğini gösteren
makaleler yayınlanmıştı. Bu yazıda, Windows bir sistem üzerinde yerel yönetici olma yöntemini de
ekleyerek bu senaryoyu tekrar ele alacağız.
Yerel yönetici
olmak için de, domain kullanıcılarının oturumlarını elde etmek içinde ilgili
sistemlere fiziksel erişim gerektiğini hatırlatmak isterim.
Bütün Windows sistemlerinde oturum açma ekranında sol alt
köşede yer alan ikon Windows\system32
altındaki Utilman.exe dosyasını
çalıştırmaktadır. Windows sistemi, Linux işletim sistemi ile boot edildikten
sonra cmd.exe dosyasının adı Utilman.exe olarak, Utilman.exe dosyasının ismi de farklı bir isimle değiştirildiğinde,
login ekranındaki ikon bize Utilman.exe yerine komut satırını getirecektir. Üstelik
bu komut satırında SYSTEM yetkileri
ile komut çalıştırabilir durumda olacağız.
SYSTEM yetkileri
ile Windows işletim sistemi üzerinde herhangi bir kısıtlama olmadan komut
çalıştırılabilmektedir.
Aşağıdaki ekran görüntüsünde standart bir Windows sistemin
login ekranını görebilirsiniz.
Ekran Görüntüsü 1: Standart kullanıcı giriş ekranı
Bu ekran görüntüsünde ise manipülasyon sonrası Windows
kullanıcı giriş ekranı görebilirsiniz.
Ekran Görüntüsü 2: Manipülasyon sonrası kullanıcı ekranı
Bu aşamada, “net user”
komutu ile mevcut kullanıcılar listelenip, “net
user <kullanıcı adı> *” komutu ile bu kullanıcının şifresini
değiştirilebiliriz.
Windows sistem üzerinde yerel
yönetici olduktan sonra, alan adı
kullanıcıların oturumlarını şifre bilgisi olmadan elde edilmesine gelebiliriz.
Normal şartlar altında, yerel
veya alan adı kullanıcıları, başka
bir kullanıcının oturumunu almak istediğinde ilgili kullanıcının şifre bilgisi
olmadan bu işlem gerçekleştirilememektedir.
Ekran Görüntüsü 3: Task Manager üzerinden oturum değiştirme ekranı
Benzer şekilde “tscon”
komutu ile bu işlem gerçekleştirilmek istendiğinde de yetki hatası
alınmaktadır.
Ekran Görüntüsü 4:Tscon komutu ile yetki hatası ekran görüntüsü
Psexec aracı, Windows
sistemler üzerinde uzaktan komut çalıştımamızı sağlayan bir araçtır. Bu araç
ile yerel yönetici hesabı kullanılarak sistem üzerinde “utilman.exe”(cmd.exe) çağırıldığında,
sistem üzerinde SYSTEM yetkileri ile
komut çalıştırılabilmektedir.
Ekran Görüntüsü 5: System yetkilerinde olduğumuzu gösteren ve mevcut
kullanıcı oturumları listeleyen ekran görüntüsü
Bu aşamada, “query
user” komutu ile mevcut oturumlar listelenir.
Ardından “tscon”
komutu ile alan adı yönetici
kullanıcısının RDP oturumunu yerel
yönetici kullanıcısının RDP oturumuna yönlendiriyoruz.
Ekran Görüntüsü 6: Alan adı yöneticisinin oturumunun yerel yöneticinin
RDP oturumuna yönlendirilmesi
Ekran Görüntüsü 7: Elde edilen alan adı yönetici oturumu
Alan adı yönetici oturumunun alınmasından sonra mevcut
kullanıcı oturumları şu şekilde görünecektir.
Ekran Görüntüsü 8: Son durumda mevcut kullanıcı oturumları
Alınabilecek Önlemler;
Her ne kadar birinci senaryoda, fiziksel erişim gerekse de,
şu önlemleri almak saldırıyı yüksek ihtimalle geçersiz kılacaktır.
--Disk şifreleme ürünü kullanılması.
--BIOS üzerinden ya da disk şifreleme ürünü ile boot işlemi
sırasında kimlik doğrulama mekanizmasının kullanılması.
İkinci senaryoda da,
--Askıda kalan oturumların zaman aşımı süresi kısa
tutulmalıdır.
--Hak yönetim yazılımları ile sistem üzerinde çalıştırılacak
komutlar sıkılaştırılmalıdır.
Bir sonraki yazıda görüşmek üzere.
Not: Bu makale BeyazŞapka dergisinin Mayıs 2017 sayısında yayınlanmıştır.
Bu köşede anlatılan yöntemler, bilgi güvenliği farkındalığını arttırmak adına anlatılmaktadır. Doğabilecek yasal sorumluluklar bu yöntemleri uygulayan kişilere aittir.
Hiç yorum yok:
Yorum Gönder