OzzTech - Kritik RDP Güvenlik Açıkları Artmaya Devam Ediyor

Kritik RDP Güvenlik Açıkları Artmaya Devam Ediyor

Kritik RDP Güvenlik Açıkları Artmaya Devam Ediyor

Bu ayın Salı Yaması, bize nispeten az sayıda CVE'nin yamalanmasını, ancak anormal derecede yüksek önemli kritik RDP güvenlik açıkları yüzdesini getiriyor.

Güvenlik Açığı Analizi: CVE-2021-34535

Böyle bir güvenlik açığı, Microsoft'un yerleşik RDP istemcisi (mstsc.exe) tarafından kullanılan mstscax.dll'de gözlenen Uzak Masaüstü istemci yazılımındaki bir uzaktan kod yürütme hatası olan CVE-2021-34535 olarak tanımlanır. Güvenlik açığı, Temmuz 2020'de yayınlanan ve yine Microsoft'un Salı Yaması sürecinden geçen ve oldukça benzer özelliklere sahip olan CVE-2020-1374 adlı bir hatayla çok yakından ilgilidir. Güvenlik açığı, saldırgan tarafından kontrol edilebilen bir veri yükü boyutu alanından kaynaklanan bir tamsayı taşmasıdır ve sonuçta bellek ayırma sırasında yığın arabellek taşmasına neden olur. Güvenlik açığı, genellikle 3389 numaralı bağlantı noktasında dağıtılan ve TLS kullanılarak sıkıştırılmış UDP yükü ve şifrelenmiş RDP'nin içinde bulunan RDP Video Yeniden Yönlendirme Sanal Kanal Uzantısı özelliği [MS-RDPEV] aracılığıyla tetiklenebilir.

Ancak bu kusur, etkileyici 9.9 CVSS puanına rağmen, kötü şöhretli BlueKeep (CVE-2019-0708) dahil olmak üzere geçmişteki RDP güvenlik açıklarının düzeyine yükseliyor mu? O kadar hızlı değil - dikkate alınması gereken birkaç ek faktör var.

Saldırı Senaryosu

Her şeyden önce, bu bir istemci tarafı güvenlik açığıdır, yani kendi kendine yayılma veya İnternet perspektifinden "kurtulma" için gerçek bir yetenek yoktur. En olası saldırı senaryosu, bir kullanıcıyı, sunucunun istemci tarafında hatayı tetikleyebileceği kötü amaçlı bir RDP sunucusunda kimlik doğrulaması yapmaya ikna etmektir. Sorunun yeniden üretilmesi sırasında, kilitlenmeyi kolayca tetikleyebildik ve kontrollü taşma kullanarak daha sonraki bir memcpy'yi gözlemledik, bu da istismarı kolaylaştırmalı. Bu güvenlik açığı için istismarların geliştirileceğini düşünüyoruz, ancak bilinen herhangi bir kamu istismarından önce bir yamanın kullanılabilirliği, kuruluşlar ve bireyler için riskleri azaltmaya yardımcı olur.

İkinci olarak, BlueKeep ve diğer ilgili RDP güvenlik açıklarının yaygınlaşması ve erişimi sayesinde, RDP istemcilerinin ve sunucularının önemli bir kısmı devre dışı bırakıldı veya ağ çevresinden taşındı. Bu, hatanın istemci tarafı doğası göz önüne alındığında daha az önemlidir, ancak genel saldırı yüzeyine yardımcı olur.

Daha yaygın olarak kullanılan Uzak Masaüstü ağ bağlantısı olan Microsoft'un yerleşik RDP istemcisine (mstsc.exe) ek olarak, daha az bilinen bazı RDP vektörlerinin de bu güvenlik açığından etkilendiğini doğruladık. Microsoft Hyper-V Manager “Gelişmiş Oturum Modu” ve Microsoft Defender'ın Uygulama Koruması (WDAG), sırasıyla ekran paylaşımı ve güvenli tarayıcıyı sunmak için RDP kullanır. Bu, son kullanıcıya, ana bilgisayar sistemi bağlamında yalıtılmış örneklerinin uzaktan görünümünü verir. Microsoft, RDP oturum paylaşım yeteneğini yeniden uygulamak yerine, mevcut RDP istemci kod tabanını Hyper-V ve WDAG'a taşıdı. RDP istemci kodu mstscax.dll'de (bir ActiveX COM nesnesi) bağımsız olduğundan, RDP istemci işlevinden yararlanmak için Hyper-V (vmconnect.exe) ve WDAG (hvsirdpclient.exe) işlemlerine yüklenebilir. Aynı DLL, mstsc.exe, vmconnect.exe ve hvsirdpclient.exe'nin üç işleminde de yüklendiğinden, bu kod tabanında herhangi bir saldırı yüzeyi azalması yok gibi görünüyor. Etkilenen bileşenler şunlardır:

  • Microsoft'un yerleşik RDP istemcisi mstsc.exe, bir istemci ağ üzerinden bir RDP sunucusuna uzaktan bağlandığında güvenlik açığı bulunan mstscax.dll dosyasını kullanır. Mstsc.exe'nin kilitlendiğini onayladık ve güvenlik açığı tetiklenebilir, ardından istemci bir RDP sunucusunda kimlik doğrulaması yaptı.

Azaltma: Yama

  • Microsoft'un Hyper-V Manager yazılımı, güvenlik açığı bulunan işlevin bulunduğu mstscax.dll dosyasını da kullanır. “Gelişmiş Oturum Modu” (Hyper-V Yöneticisi'nde varsayılan olarak etkindir) kullanılırken, vmconnect.exe işlemi mstscax.dll dosyasını yükler. Güvenlik açığını bir Hyper-V Windows 10 görüntüsünün içinden tetiklemenin ana bilgisayardaki vmconnect.exe'yi çökerteceğini test ederek onayladık. Bu, güvenlik açığı kullanılarak konuktan ana bilgisayara kaçışlara tabi olduğu anlamına gelir. (Hyper-V, Windows 10'da Varsayılan olarak devre dışıdır).

Azaltma: "Geliştirilmiş Oturum Modu"nu yamalayın veya devre dışı bırakın

  • Microsoft Defender'ın Uygulama Koruması, kullanıcıya kapsayıcılı Edge ve IE tarayıcısının bir görünümünü sunmak için mstscax.dll'yi de kullanır. Edge'den bir "Yeni Uygulama Koruması penceresi"ne gidildiğinde, mstscax.dll'yi yükleyen hvsirdpclient.exe işlemini başlatır. WDAG işleminin hvsirdpclient.exe'nin kilitlendiğini onaylamadık, ancak aynı kod tabanını kullanıyor, bu nedenle WDAG kullanıyorsanız yama uygulamanızı öneririz (WDAG, Windows 10'da Varsayılan olarak devre dışıdır).

Dörtgözle Bekleniyor

Yerleşik RDP istemcisi ve Hyper-V/WDAG istemcileri, TCP/IP ve VMBus biçiminde farklı aktarım ortamları üzerinden iletişim kurar, ancak ikisi de aynı RDP istemci protokolü uygulamasını kullanır. Kusurun mstscax.dll içinde yer aldığı ve bağımsız olduğu göz önüne alındığında, güvenlik açığı kod tabanının geri kalanıyla birlikte bu iki uygulamaya aktarıldı.

Yama için aciliyet, geçmişteki kritik RDP güvenlik açıkları kıyaslandığında biraz daha düşük olsa da, tehdit aktörleri, ortak ağ protokollerinden yararlanan bu düşük kalıcı meyvelerden herhangi birini silahlandırmaya çalışacaklar. Yama uygulaması en önemli öncelik olmalıdır ve ayrıca internete yönelik ve dahili ağ bağlantılı RDP istemcilerinin ve sunucularının kapsamlı ve sürekli bir incelemesi şiddetle tavsiye edilir. Saldırı yüzeyini ortadan kaldırmak veya azaltmak, güvenlik açığından yararlanmaya yönelik en iyi karşı saldırılardan biridir.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.