Yazar: Onur Savaş

Pass-the-ticket saldırısı, Windows Active Directory ortamında bilet adı verilen kimlik doğrulama bilgilerinin çalınmasını ve yeniden kullanılmasını içeren bir siber saldırı türüdür.

Bir kullanıcı bir Windows etki alanında oturum açtığında, kimlik doğrulama işlemi kullanıcının kimliğini ve ayrıcalıklarını içeren bir bilet oluşturur. Bilet daha sonra dosyalar, klasörler ve uygulamalar gibi ağ kaynaklarına erişmek için kullanılır.

Pass-the-ticket saldırısında, saldırgan mevcut bir bileti çalar veya sahte bir bilet oluşturur ve daha sonra tekrar kimlik doğrulaması yapmak zorunda kalmadan ağ kaynaklarına yetkisiz erişim elde etmek için kullanır. Saldırgan bu tekniği bir ağ üzerinde yanal olarak hareket etmek, hassas verilere erişim sağlamak veya sistemlerin kontrolünü ele geçirmek için kullanabilir.

Alınabilcek Önlemler;

• Microsoft’un Windows Defender Kimlik Bilgisi Korumasını etkinleştirin. Windows 10 ve Windows Server 2016’da tanıtılan Credential Guard, kimlik bilgileri depolamasını korumak ve yalnızca güvenilir işlemlerin bunlara erişmesine izin vermek için sanallaştırmanın üzerine inşa edilmiştir.
• Kullanıcıların çok sayıda uç noktada yönetici ayrıcalıklarına sahip olmasına izin vermeyin. Bu, bir saldırganın çalınan bir bileti yanal hareket için kullanma riskini büyük ölçüde azaltır.
• Kullanıcıların güvenlik sınırları ötesinde yönetici ayrıcalıklarına sahip olmasına izin vermeyin. Bu, bir saldırganın çalınan bir bileti ayrıcalıklarını yükseltmek için kullanması riskini büyük ölçüde azaltır.