[Owasp-turkey] Kurumsal Ağda NTLM over HTTP Saldırısı

Bedirhan Urgun bedirhanurgun at gmail.com
Wed Oct 12 03:12:50 EDT 2011


merhaba,
bilgiguvenligi'nde de okumustum yazinizi aslinda ama simdi uzerine
dusununce...  Onlem olarak SSL cozum degil, credential'larin manuel olarak
girilmesi de kullanisliligi cok dusuruyor ve yine (xss yolu ile gorunmez bir
iframe'de acilan saldirgan proxy NTLM authentication isteginin sadece login
kutucugu gozukuyor, yani kutucuk icindeki domain ismi disinda, ki bu da
guzel bir isim / IP olabilir :), kullanicinin dikkate alabilecegi bisey yok)
cozum olarak gozukmuyor. Baska onlem bilen?

diger versiyonlari var ama mitm ile pass-the-hash tool'u var midir?

Not: kullanicilarin girdigi ntlm, basic,form, kerberos v.b. ile korunan
herhangi bir lokal uygulamada ozellikle stored xss varsa kullaniciya
bilgilerini girebilecegi afilli bir form cikarmak ve (sadece hash degil
username/password) bilgilerini caktirmadan yonlendirmek mumkun...
 bedirhan
11 Ekim 2011 21:34 tarihinde Gökhan Muharremoglu <gokmuh at hotmail.com> yazdı:

>  Merhaba,
>
> Çok fazla göz önünde olmayan sinsi bir tehditten bahsetmek istiyorum.
>
> NTLM over HTTP ile oturum açma yöntemi kullanılan sunucularda, Internet
> Explorer (IWA) tarafından otomatik yollanan NTLM kimlik bilgileri, kötü
> niyetli olarak hazırlanmış bir Proxy'den geçirilerek yine Intranet altındaki
> başka bir sunucuya yetkisiz erişim sağlamak için kullanılabiliyor.
>
> Eğer NTLM over HTTP ile korunan ve kurum ağında kullandığınız kritik önem
> taşıyan bir Web Uygulamanız varsa ve bu Web uygulamasının tek kimlik
> doğrulama/oturum açma yöntemi bu yöntem ise, bu durumun önemli bir risk
> teşkil ettiğini belirtmek lazım.
>
> Kullanılabilirlik ve güvenlik dengesi genelde terazimin 2 farklı
> kefesindeki büyük kalemleri temsil ediyor. Kullanılabilirlik için Domain
> altındaki bir kullanıcıya Web üzerinden çok hızlı ve şık bir erişim sağlayan
> bu sistem, bu sefer de güvenlik kefesinde fire vermiş gibi görünüyor.
>
> Açık ile ilgili detayları aşağıdaki linkte bulabilirsiniz.
>
>
> http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/ntlm-over-http-evil-proxy-mitm-ve-pass-the-hash-saldirisi.html
>
> Gökhan MUHARREMOĞLU
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20111012/fbc06008/attachment.html 


More information about the Owasp-turkey mailing list