Windows’u Tehdit Eden SeriousSAM Güvenlik Açığından Nasıl Korunulur?

Teknolojinin devlerinden biri olan Microsoft, Windows 11’i tanıtması  ile birlikte kullanıcılarının ilgi odağı haline gelmiş durumda, fakat bu kez yeni bir güvenlik açığı ile gündemde. Ortaya çıkan bir habere göre Windows 10 ve 11 kullanıcıları, kayıt defterleri için bir tehdit oluşturan güvenlik açığı ile karşı karşıya.
Microsoft tarafından henüz bir açıklama ve  güvenlik yaması yayınlanmayan güvenlik açığı SeriousSAM olarak adlandırılıyor. Bu açık düşük düzeyde izinlere sahip kötü niyetli kişilerin, “Pass-the-Hash” saldırısı gerçekleştirmek için Windows dosyalarına erişmesine imkan sağlıyor.
SeriousSAM açığı CVE-2021-36934 izleme koduna sahip. Açıktan faydalanan saldırganlar, Güvenlik Hesabı Yöneticisi (SAM) ve Kayıt Defteri‘nde depolanan parolaları ele geçirebiliyorlar. Buna göre kötü niyetli kişiler edindikleri SYSTEM ayrıcalıklarıyla sistemde rastgele kod çalıştırabilir hale geliyorlar.
Açığın tüm “Home Edition” kullanıcı grubunda bulunan “okuma” izinlerinde gerçekleşen bir ayar nedeniyle oluştuğu bildiriliyor.
Ortaya çıkan bu açıktan elde edilen sonuca göre kötü niyetli kişiler, “Kullanıcı” erişimi olmadan Kayıt Defterine veya SAM’e erişim elde edebiliyor. Ayrıca bu yerlere erişim için Mimikatz gibi araçların kullanıldığı da belirtiliyor. Bu araçlar kayıt defterlerini çalabiliyor ve bunları şifreleyebiliyor.
Kullanıcıların etki alanını bu şekilde ele geçirmenin saldırganlara ağ üzerinde yüksek ayrıcalıklar vereceği düşünülüyor.

SeriousSAM güvenlik açığının etkileri nasıl azaltılır?
BT ve siber güvenlik alanında hizmet veren CalCom Yazılım’ın CTO’su Dvir Goren yaptığı açıklamada, bu açıktan korunmak için üç farklı yöntem sunuyor.
İlk olarak yerleşik kullanıcılar grubundan tüm kullanıcıların silinmesi gerektiğini vurgulayan CTO, bu adımın başlangıç olarak iyi olduğunu ifade ediyor. Fakat yönetici kimlik bilgilerinin çalınması durumunda yapılan hamlenin koruyucu olmayacağını da dile getiriyor.
İkinci olarak SAM dosyalarını ve kayıt izinlerinin kısıtlanmasını tavsiye eden Goren, sisteminizde yalnızca yöneticiler için erişime izin vermenizi , başka kullanıcıların girişini engelleyeceğini belirtiyor. CTO, bu adımın da sorunun yalnızca bir kısmını çözeceğini ifade ediyor. Dvir Goren, son olarak ise ağ kimlik doğrulaması içi parolaların ve kimlik bilgilerinin saklanmasına izin verilmemesi gerektiğini açıklıyor.
Bu adımın CIS karşılaştırmalarında da önerildiğini ekleyen Goren, SAM‘de ve kayıt defterinde depolanan bir şey olmayacağından güvenlik açığı riskini tamamen azaltacağını öne sürüyor.