Almanya’daki Ruhr Üniversitesi Bochum araştırmacıları, Microsoft Active Directory (AD) altyapılarında önemli güvenlik riskleri oluşturabilen “Onelogon” isimli yeni bir saldırı tekniğini ortaya çıkardı. Araştırmacılara göre bu yöntem, 2020 yılında küresel çapta dikkat çeken ve kritik güvenlik açıklarından biri olarak değerlendirilen “Zerologon” zafiyetine karşı Microsoft tarafından geliştirilen bazı güvenlik önlemlerinin belirli koşullarda aşılabildiğini gösteriyor.
Yayınlanan araştırmaya göre Microsoft, geçmişte güvenlik açığına neden olan AES-CFB8 şifreleme algoritmasındaki kullanım sorununu tamamen ortadan kaldırmak yerine, belirli saldırı senaryolarını engellemeye yönelik ek güvenlik güncellemeleri uyguladı. Uzmanlar ise Netlogon protokolündeki bu tasarım zafiyetini kullanarak savunmasız Active Directory hesaplarına yaklaşık 30 ila 36 dakika içerisinde erişim sağlayabildi.
Eğer hedef alınan hesap, kurumsal ağın merkezi yönetim sistemi olan Domain Controller’a (Etki Alanı Denetleyicisi) aitse, saldırganların ağ üzerinde kritik seviyede yetki elde edebileceği belirtiliyor. Yapılan saha analizleri ise Zerologon güncellemelerinin üzerinden yaklaşık beş yıl geçmesine rağmen şirketlerin %23’ünün eski sistemlerle uyumluluğu korumak amacıyla bazı güvenlik protokollerini esnettiğini ve bu nedenle Onelogon riskine açık olabileceğini gösteriyor.
Araştırmacılar, saldırı kodlarını Python dili kullanılarak prototip olarak geliştirdi ve güncel bir Windows Server 2025 ortamında test etti. Konuyla ilgili siber güvenlik otoritelerine ve Microsoft’a resmi bildirim yapılmasına rağmen, Microsoft’un şu an için yeni bir güvenlik güncellemesi planlamadığı belirtiliyor. Uzmanlar ise yeni bir resmi yama beklenmediği için sistem yöneticilerinin ağlarındaki Grup İlkelerini (GPO) denetlemesini ve güvensiz bağlantı istisnalarını kaldırmasını öneriyor.
Onelogon Saldırısının Öne Çıkan Bulguları
Mevcut Güvenlik Önlemleri Test Edildi:
Microsoft’un 2020 yılında Zerologon açığı sonrasında uygulamaya aldığı bazı güvenlik önlemlerinin, Onelogon tekniği karşısında belirli sınırlamalar gösterdiği belirtiliyor.
Kritik Süre Yaklaşık Yarım Saat:
Araştırmacılar, Active Directory altyapısındaki savunmasız hesaplara yaklaşık 30 ila 36 dakika içerisinde erişim sağlanabildiğini aktarıyor.
Risk Oranı Dikkat Çekiyor:
Araştırmaya göre şirketlerin %23’ü, eski (legacy) donanım ve yazılımlarla uyumluluğu sürdürebilmek için güvenlik yapılandırmalarında esneklik sağlıyor ve bu durum ek risk oluşturabiliyor.
Yeni Güncelleme Beklenmiyor:
Araştırmacıların responsible disclosure (sorumlu bildirim) sürecine rağmen, Microsoft’un mevcut durumu daha önce belgelenmiş bir risk senaryosu olarak değerlendirdiği ve şu an için yeni bir güvenlik güncellemesi planlamadığı ifade ediliyor.
Bu bulgular, dünya genelindeki kurumsal şirketlerin siber güvenlik stratejisinde önemli bir denge sorununu yeniden gündeme getiriyor. Özellikle eski sistemlerle geriye dönük uyumluluğu koruma zorunluluğu, modern altyapılarda ek güvenlik riskleri oluşturabiliyor. Microsoft tarafından yeni bir güncelleme planlanmaması nedeniyle, kurumların kendi ağ yapılarını manuel olarak denetlemesi, eski sistemleri izole etmesi ve güvenlik politikalarını yeniden gözden geçirmesi kritik önem taşıyor.
İncelemek isterseniz: https://softsec.rub.de/files/pdf/woot2026-onelogon.pdf