Windows Yetki Yükseltme Saldırısı – SeImpersonatePrivilege

Yazar: Onur Savaş

Ayrıcalık yükseltme, BT sistemlerine sınırlı erişimi olan bir kullanıcının erişim izinlerinin kapsamını ve ölçeğini artırabileceği bir süreçtir.

Ayrıcalık yükseltme aynı zamanda saldırganların hassas ve değerli verileri keşfetmek ve dışarı sızdırmak için kullandıkları en yaygın tekniklerden biridir. Bir bilgisayar korsanının bakış açısına göre ayrıcalık yükseltme, genellikle standart bir kullanıcı veya uygulama hesabı olan ilk erişimden yönetici, kök ve hatta tam sistem erişimine kadar ayrıcalıkları artırma sanatıdır. NT Yetkilisi\Sistem erişimi ile saldırganlar bir sisteme tam erişime sahip olurlar. Etki Alanı Yöneticisi erişimi ile tüm ağa sahip olurlar. Saldırganlar bir Windows makinesinde düşük seviyeli bir kullanıcı olarak bulunduğunda, kullanıcı hesabınızın hangi ayrıcalıklara sahip olduğunu kontrol ederler. SeImpersonatePrivilege’a sahipse bir saldırgan, SYSTEM düzeyinde erişim elde etmek için kullanabileceği çok basit bir saldırı vektörü vardır.

SeImpersonatePrivlege, ayrıcalık yükseltmenin ötesinde, Active Directory ortamına saldırılar gerçekleştirirken yanal harekette de büyük bir rol oynar.

Peki buna önlem olarak ne yapılabilir?

Bilgisayar Yapılandırması >> Windows Ayarları >> Güvenlik Ayarları >> Yerel İlkeler >> Kullanıcı Hakları Ataması >> “Kimlik doğrulamasından sonra istemcinin kimliğine bürün” için ilke değerini yalnızca aşağıdaki grupları veya hesapları içerecek şekilde yapılandırabilirsiniz:

Yöneticiler

YEREL SERVİS

AĞ HİZMETİ

SERVİS

İlgili Yazılar

Yapay Zekâ Destekli Siber Saldırılar 2026’nın Dijital Tehdidi

Yazar: Serra BALCI

Bir sabah işe geldiğinizde şirketinizin tüm sistemleri kilitli, ekranınızda bir fidye notu var. Ama bu sefer saldırıyı başlatan...

Cloud Güvenliği Yanlış Yapılandırmaların Büyük Bedeli

Yazar: Serra BALCI

Bulut güvenliğinin en büyük ironisi bu: altyapı güvenli, ama onu kullanan insan değil. Gartner'ın net tahminine göre 2026'ya...

MongoDB Güvenlik Açığı CVE-2025-14847

CVE-2025-14847, siber güvenlik dünyasında popülerleşen adıyla "MongoBleed", MongoDB Server'da Aralık 2025'te keşfedilen ve Heartbleed zafiyetine benzerliğiyle dikkat çeken kritik bir...