Windows Sistemler üzerinde yetkisiz oturum elde edilmesi

Merhabalar,

Bu sayıda Windows sistemler üzerinde yetkisiz oturum elde edilmesi konusundan bahsedeceğim.

Geçtiğimiz aylarda, yerel yönetici hesabı ile, alan adı hesaplarının oturumlarını şifre bilgisi olmadan elde edebildiğini gösteren makaleler yayınlanmıştı. Bu yazıda, Windows bir sistem üzerinde yerel yönetici olma yöntemini de ekleyerek bu senaryoyu tekrar ele alacağız.

Yerel yönetici olmak için de, domain kullanıcılarının oturumlarını elde etmek içinde ilgili sistemlere fiziksel erişim gerektiğini hatırlatmak isterim.

Bütün Windows sistemlerinde oturum açma ekranında sol alt köşede yer alan ikon Windows\system32 altındaki Utilman.exe dosyasını çalıştırmaktadır. Windows sistemi, Linux işletim sistemi ile boot edildikten sonra cmd.exe dosyasının adı Utilman.exe olarak, Utilman.exe dosyasının ismi de farklı bir isimle değiştirildiğinde, login ekranındaki ikon bize Utilman.exe yerine komut satırını getirecektir. Üstelik bu komut satırında SYSTEM yetkileri ile komut çalıştırabilir durumda olacağız.

SYSTEM yetkileri ile Windows işletim sistemi üzerinde herhangi bir kısıtlama olmadan komut çalıştırılabilmektedir.

Aşağıdaki ekran görüntüsünde standart bir Windows sistemin login ekranını görebilirsiniz.

Ekran Görüntüsü 1: Standart kullanıcı giriş ekranı

Bu ekran görüntüsünde ise manipülasyon sonrası Windows kullanıcı giriş ekranı görebilirsiniz.

Ekran Görüntüsü 2: Manipülasyon sonrası kullanıcı ekranı

Bu aşamada, “net user” komutu ile mevcut kullanıcılar listelenip, “net user <kullanıcı adı> *” komutu ile bu kullanıcının şifresini değiştirilebiliriz.

Windows sistem üzerinde yerel yönetici olduktan sonra, alan adı kullanıcıların oturumlarını şifre bilgisi olmadan elde edilmesine gelebiliriz.

Normal şartlar altında, yerel veya alan adı kullanıcıları, başka bir kullanıcının oturumunu almak istediğinde ilgili kullanıcının şifre bilgisi olmadan bu işlem gerçekleştirilememektedir.

Ekran Görüntüsü 3: Task Manager üzerinden oturum değiştirme ekranı

Benzer şekilde “tscon” komutu ile bu işlem gerçekleştirilmek istendiğinde de yetki hatası alınmaktadır.

Ekran Görüntüsü 4:Tscon komutu ile yetki hatası ekran görüntüsü

Psexec  aracı, Windows sistemler üzerinde uzaktan komut çalıştımamızı sağlayan bir araçtır. Bu araç ile yerel yönetici hesabı  kullanılarak sistem üzerinde “utilman.exe”(cmd.exe) çağırıldığında, sistem üzerinde SYSTEM yetkileri ile komut çalıştırılabilmektedir.

Ekran Görüntüsü 5: System yetkilerinde olduğumuzu gösteren ve mevcut kullanıcı oturumları listeleyen ekran görüntüsü

Bu aşamada, “query user” komutu ile mevcut oturumlar listelenir.

Ardından “tscon” komutu ile alan adı yönetici kullanıcısının RDP oturumunu yerel yönetici kullanıcısının RDP oturumuna yönlendiriyoruz.

Ekran Görüntüsü 6: Alan adı yöneticisinin oturumunun yerel yöneticinin RDP oturumuna yönlendirilmesi

Ekran Görüntüsü 7: Elde edilen alan adı yönetici oturumu

Alan adı yönetici oturumunun alınmasından sonra mevcut kullanıcı oturumları şu şekilde görünecektir.

Ekran Görüntüsü 8: Son durumda mevcut kullanıcı oturumları

Alınabilecek Önlemler;

Her ne kadar birinci senaryoda, fiziksel erişim gerekse de, şu önlemleri almak saldırıyı yüksek ihtimalle geçersiz kılacaktır.

--Disk şifreleme ürünü kullanılması.

--BIOS üzerinden ya da disk şifreleme ürünü ile boot işlemi sırasında kimlik doğrulama mekanizmasının kullanılması.

İkinci senaryoda da,

--Askıda kalan oturumların zaman aşımı süresi kısa tutulmalıdır.

--Hak yönetim yazılımları ile sistem üzerinde çalıştırılacak komutlar sıkılaştırılmalıdır.

Bir sonraki yazıda görüşmek üzere.

Not: Bu makale BeyazŞapka dergisinin Mayıs 2017 sayısında yayınlanmıştır.

Bu köşede anlatılan yöntemler, bilgi güvenliği farkındalığını arttırmak adına anlatılmaktadır. Doğabilecek yasal sorumluluklar bu yöntemleri uygulayan kişilere aittir.