[Owasp-turkey] Kurumsal Ağda NTLM over HTTP Saldırısı

Gökhan Muharremoglu gokmuh at hotmail.com
Wed Oct 12 05:55:04 EDT 2011


Merhaba, En güzel çözüm paketlerinden biri IWA'nın devre dışı bırakılması, kullanıcının bilinçlendirilmesi, mümkün olan yerlerde CA denetimi yapılması ve tabii ki bu yöntemi kritik uygulamalr için tek başına bir oturum açma yöntemi olarak kullanmamak. :) Gökhan Muharremoğlu From: bedirhanurgun at gmail.com
Date: Wed, 12 Oct 2011 10:12:50 +0300
To: owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey]	Kurumsal Ağda NTLM over HTTP Saldırısı

merhaba,
bilgiguvenligi'nde de okumustum yazinizi aslinda ama simdi uzerine dusununce...  Onlem olarak SSL cozum degil, credential'larin manuel olarak girilmesi de kullanisliligi cok dusuruyor ve yine (xss yolu ile gorunmez bir iframe'de acilan saldirgan proxy NTLM authentication isteginin sadece login kutucugu gozukuyor, yani kutucuk icindeki domain ismi disinda, ki bu da guzel bir isim / IP olabilir :), kullanicinin dikkate alabilecegi bisey yok) cozum olarak gozukmuyor. Baska onlem bilen? 


 
diger versiyonlari var ama mitm ile pass-the-hash tool'u var midir? 
 
Not: kullanicilarin girdigi ntlm, basic,form, kerberos v.b. ile korunan herhangi bir lokal uygulamada ozellikle stored xss varsa kullaniciya bilgilerini girebilecegi afilli bir form cikarmak ve (sadece hash degil username/password) bilgilerini caktirmadan yonlendirmek mumkun...



bedirhan

11 Ekim 2011 21:34 tarihinde Gökhan Muharremoglu <gokmuh at hotmail.com> yazdı:



Merhaba,

Çok fazla göz önünde olmayan sinsi bir tehditten bahsetmek istiyorum.

NTLM over HTTP ile oturum açma yöntemi kullanılan sunucularda, Internet Explorer (IWA) tarafından otomatik yollanan NTLM kimlik bilgileri, kötü niyetli olarak hazırlanmış bir Proxy'den geçirilerek yine Intranet altındaki başka bir sunucuya yetkisiz erişim sağlamak için kullanılabiliyor.



Eğer NTLM over HTTP ile korunan ve kurum ağında kullandığınız kritik önem taşıyan bir Web Uygulamanız varsa ve bu Web uygulamasının tek kimlik doğrulama/oturum açma yöntemi bu yöntem ise, bu durumun önemli bir risk teşkil ettiğini belirtmek lazım.



Kullanılabilirlik ve güvenlik dengesi genelde terazimin 2 farklı kefesindeki büyük kalemleri temsil ediyor. Kullanılabilirlik için Domain altındaki bir kullanıcıya Web üzerinden çok hızlı ve şık bir erişim sağlayan bu sistem, bu sefer de güvenlik kefesinde fire vermiş gibi görünüyor.



Açık ile ilgili detayları aşağıdaki linkte bulabilirsiniz.

http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/ntlm-over-http-evil-proxy-mitm-ve-pass-the-hash-saldirisi.html



Gökhan MUHARREMOĞLU

_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey





-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey



Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için: 
https://lists.owasp.org/mailman/listinfo/owasp-turkey


_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey 		 	   		  
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20111012/801d7935/attachment.html 


More information about the Owasp-turkey mailing list