Microsoft hesap bilgileri sızıntı açığı


windows hesap bilgileri sızıntı açığı

Hatasız kul olmayacağı gibi açığı olmayan işletim sistemi de yoktur , her sistemde açık vardır ve sadece bulunmayı bekler bu sebeple sistem üreticileri işletim sistemleri için düzenli aralıklarla yama çıkartarak

olası tehlikelerden korurlar buraya kadar herşey normal görünüyor peki ya Microsoftun yaklaşık 20 yıldır tüm sistemlerinde bulunan ve hala kapatılmayan bir açığın Windows 10 da da olduğunu söylesek tepkiniz ne olurdu ? şaka gibi ama malesef gerçek Windows 95 yılından beridir bu açık halen yamanmadı.
Windows işletim sistemi kullanıcıları internette bir web sayfasını ziyaret ettiklerinde veya IPSec üzerinden bir VPN kullandıklarında yada basit bir Email okudukları sırada windows hesap bilgileri ele geçirilebilmektedir , nasıl olduğu konusuna biraz daha yoğunlaşırsak ; Microsoft Edge, Internet Explorer, Outlook veya diğer Microsoft ürünleri yerel ağ paylaşımı bağlantılarına izin vermektedirler ve varsayılan ayarlar bu paylaşımı uzak bağlantılardada engellememektedirler ,işte zafiyet tam bu noktada ortaya çıkmakta ve saldırgan bu açığı exploit ederek , bir web sayfası , email , gömülü bir resim veya bir ağ paylaşımı ile yüklenen diğer bir içerik ile Microsoft hesap bilgilerimizi ele geçirmektedir.
NOT: Kullanıcı ismi : Şifresiz , Password (Şifre) bilgilerimiz ise NTLMv2 hash şeklinde sızdırılmaktadır , Açıktan Bütün windows sürümleri etkilenmektedir.

hesap bilgileri sızıntı açığı

Kısacası : Microsoft Edge, Outlook yada Internet Explorer gibi bileşenler ağ paylaşımı kaynağını yüklemeye çalıştıklarından ve aktif kullanıcıların Windows oturum açma kimlik bilgilerini, kullanıcı adını ve şifresini yolladıklarından güvenlk açığı oluşmaktadır

Microsoft hesap bilgileri ve şifremiz sızdırılıyor

BU açık ile iki ciddi tehlike söz konusu olmaktadır , ilki ; üçüncü şahıslar hesap bilgilerimizi ele geçirmek için ellerindeki NTLMv2 hash değerlerini kırabilirler , bir diğeri ise özellikle Tor veya VPN servislerinin kullanımı sırasında (Yani kendimizi güvende zannederken) açığın sinsice varolmasıdır. Bu açık windows 8 ve sonraki sistemlerde daha tehlikelidir çünkü bu sistemlerde varsayılan giriş yöntemi olarak Microsoft hesabı kullanılmaktadır.

Siteminiz bu açıktan etkileniyormu test edin:

DİKKAT: Aşağıdaki web sayfasını ziyaret ederek Windows kullanıcı hesabı bilgilerinizin (kullanıcı ismi , şifresi) web sayfasını kodlayanların eline geçmesine sebep olabilirsiniz O nedenle test sonrası şifrenizi değiştirmenizi öneririm

1. EDGE tarayıcısı ile veya Microsoft internet explorer ile Buradaki sayfayı ziyaret edin.

2. Ekranda Windows Kullanıcı isminizi ve eğer 30 sn de kırılabiliyorsa şifrenizi göreceksiniz , Şifreniz 30 sn de kırılamadıysa bu güvendesiniz demek değildir

Windows hesap bilgileri çalındı

Görüldüğü gibi Windows hesap bilgilerim anında adamların ellerine geçti , Kullanıcı ismim ve şifremin hash değerleri hatta 30 sn lik bir kırma denemesi bile yaptılar , eğer denemelerini 30 sn ile sınırlamamış olsalar muhtemelen kullanıcı şifremi de orada görecektim , yada çok basit bir şifre seçmiş olsaydım belkide 30 sn bile yeterli olacaktı.

Microsoft hesap bilgileri sızıntı açığığından nasıl korunuruz

Açığı bulan araştırmacılar en azından bu açık kapatılana kadar (kapatılırmı meçhul) Microsoft ürünlerinden EDGE veya internet exploreri kulanmamamızı veya Bir Firewall kuralı oluşturmamızı öneriyorlar burada , işin ilginç yanı windows 7 den sonraki sistemelrde Kullanıcı verileri ve tehlikenin boyutunun daha da artması , Windows açık kaynaklı bir sistem olmadığından acaba MS DOS kalıntıları Windows 10 da devam mı ediyor ? , NTLMv2 açığı Vistadan beridir biliniyor ama kapatılamadı çünkü eski işletim sistemi desteğine zarar verecekti. Şansa bakınız ki ben hep yerel hesap üzerinden windows kullanırım , asla Microsoft hesabı üzerinden kullanıcı açmam

Registry değişikliği ile sızıntıyı önlemek

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"RestrictSendingNTLMTraffic"=dword:00000002

Üstteki registry kaydını uyguladıktan sonra aşağıdaki gibi açık olmadığı uyarısını aldım

hesap bilgileri sızıntı açığı kapatıldı

Eğer Bir ağda iseniz ve client ler bağlı ise üstteki registry kaydındaki aynı yere “ClientAllowedNTLMServers” isminde bir REG_MULTI_SZ değeri ekleyip client isimlerini alt alta girmeniz gerekir (Aşağıdaki resim)

clientAllowedNTLMServers

Lütfen sizde EDGE ve İnternet exploreriniz ile üstteki test sayfasını ziyaret edip açık varsa üstte verilen registry kaydını uygulayın , registry kaydının hazır halini aşağıdaki linkten indirebilirsiniz

Download



Yorum Ekle

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

CAPTCHA