Bu ayın Salı Yaması, bize nispeten az sayıda CVE’nin yamalanmasını, ancak anormal derecede yüksek önemli kritik RDP güvenlik açıkları yüzdesini getiriyor.
Güvenlik Açığı Analizi: CVE-2021-34535
Böyle bir güvenlik açığı, Microsoft’un yerleşik RDP istemcisi (mstsc.exe) tarafından kullanılan mstscax.dll’de gözlenen Uzak Masaüstü istemci yazılımındaki bir uzaktan kod yürütme hatası olan CVE-2021-34535 olarak tanımlanır. Güvenlik açığı, Temmuz 2020’de yayınlanan ve yine Microsoft’un Salı Yaması sürecinden geçen ve oldukça benzer özelliklere sahip olan CVE-2020-1374 adlı bir hatayla çok yakından ilgilidir. Güvenlik açığı, saldırgan tarafından kontrol edilebilen bir veri yükü boyutu alanından kaynaklanan bir tamsayı taşmasıdır ve sonuçta bellek ayırma sırasında yığın arabellek taşmasına neden olur. Güvenlik açığı, genellikle 3389 numaralı bağlantı noktasında dağıtılan ve TLS kullanılarak sıkıştırılmış UDP yükü ve şifrelenmiş RDP’nin içinde bulunan RDP Video Yeniden Yönlendirme Sanal Kanal Uzantısı özelliği [MS-RDPEV] aracılığıyla tetiklenebilir.
Ancak bu kusur, etkileyici 9.9 CVSS puanına rağmen, kötü şöhretli BlueKeep (CVE-2019-0708) dahil olmak üzere geçmişteki RDP güvenlik açıklarının düzeyine yükseliyor mu? O kadar hızlı değil – dikkate alınması gereken birkaç ek faktör var.
Saldırı Senaryosu
Her şeyden önce, bu bir istemci tarafı güvenlik açığıdır, yani kendi kendine yayılma veya İnternet perspektifinden “kurtulma” için gerçek bir yetenek yoktur. En olası saldırı senaryosu, bir kullanıcıyı, sunucunun istemci tarafında hatayı tetikleyebileceği kötü amaçlı bir RDP sunucusunda kimlik doğrulaması yapmaya ikna etmektir. Sorunun yeniden üretilmesi sırasında, kilitlenmeyi kolayca tetikleyebildik ve kontrollü taşma kullanarak daha sonraki bir memcpy’yi gözlemledik, bu da istismarı kolaylaştırmalı. Bu güvenlik açığı için istismarların geliştirileceğini düşünüyoruz, ancak bilinen herhangi bir kamu istismarından önce bir yamanın kullanılabilirliği, kuruluşlar ve bireyler için riskleri azaltmaya yardımcı olur.
İkinci olarak, BlueKeep ve diğer ilgili RDP güvenlik açıklarının yaygınlaşması ve erişimi sayesinde, RDP istemcilerinin ve sunucularının önemli bir kısmı devre dışı bırakıldı veya ağ çevresinden taşındı. Bu, hatanın istemci tarafı doğası göz önüne alındığında daha az önemlidir, ancak genel saldırı yüzeyine yardımcı olur.
Daha yaygın olarak kullanılan Uzak Masaüstü ağ bağlantısı olan Microsoft’un yerleşik RDP istemcisine (mstsc.exe) ek olarak, daha az bilinen bazı RDP vektörlerinin de bu güvenlik açığından etkilendiğini doğruladık. Microsoft Hyper-V Manager “Gelişmiş Oturum Modu” ve Microsoft Defender’ın Uygulama Koruması (WDAG), sırasıyla ekran paylaşımı ve güvenli tarayıcıyı sunmak için RDP kullanır. Bu, son kullanıcıya, ana bilgisayar sistemi bağlamında yalıtılmış örneklerinin uzaktan görünümünü verir. Microsoft, RDP oturum paylaşım yeteneğini yeniden uygulamak yerine, mevcut RDP istemci kod tabanını Hyper-V ve WDAG’a taşıdı. RDP istemci kodu mstscax.dll’de (bir ActiveX COM nesnesi) bağımsız olduğundan, RDP istemci işlevinden yararlanmak için Hyper-V (vmconnect.exe) ve WDAG (hvsirdpclient.exe) işlemlerine yüklenebilir. Aynı DLL, mstsc.exe, vmconnect.exe ve hvsirdpclient.exe’nin üç işleminde de yüklendiğinden, bu kod tabanında herhangi bir saldırı yüzeyi azalması yok gibi görünüyor. Etkilenen bileşenler şunlardır:
- Microsoft’un yerleşik RDP istemcisi mstsc.exe, bir istemci ağ üzerinden bir RDP sunucusuna uzaktan bağlandığında güvenlik açığı bulunan mstscax.dll dosyasını kullanır. Mstsc.exe’nin kilitlendiğini onayladık ve güvenlik açığı tetiklenebilir, ardından istemci bir RDP sunucusunda kimlik doğrulaması yaptı.
Azaltma: Yama
- Microsoft’un Hyper-V Manager yazılımı, güvenlik açığı bulunan işlevin bulunduğu mstscax.dll dosyasını da kullanır. “Gelişmiş Oturum Modu” (Hyper-V Yöneticisi’nde varsayılan olarak etkindir) kullanılırken, vmconnect.exe işlemi mstscax.dll dosyasını yükler. Güvenlik açığını bir Hyper-V Windows 10 görüntüsünün içinden tetiklemenin ana bilgisayardaki vmconnect.exe’yi çökerteceğini test ederek onayladık. Bu, güvenlik açığı kullanılarak konuktan ana bilgisayara kaçışlara tabi olduğu anlamına gelir. (Hyper-V, Windows 10’da Varsayılan olarak devre dışıdır).
Azaltma: “Geliştirilmiş Oturum Modu”nu yamalayın veya devre dışı bırakın
- Microsoft Defender’ın Uygulama Koruması, kullanıcıya kapsayıcılı Edge ve IE tarayıcısının bir görünümünü sunmak için mstscax.dll’yi de kullanır. Edge’den bir “Yeni Uygulama Koruması penceresi”ne gidildiğinde, mstscax.dll’yi yükleyen hvsirdpclient.exe işlemini başlatır. WDAG işleminin hvsirdpclient.exe’nin kilitlendiğini onaylamadık, ancak aynı kod tabanını kullanıyor, bu nedenle WDAG kullanıyorsanız yama uygulamanızı öneririz (WDAG, Windows 10’da Varsayılan olarak devre dışıdır).
Dörtgözle Bekleniyor
Yerleşik RDP istemcisi ve Hyper-V/WDAG istemcileri, TCP/IP ve VMBus biçiminde farklı aktarım ortamları üzerinden iletişim kurar, ancak ikisi de aynı RDP istemci protokolü uygulamasını kullanır. Kusurun mstscax.dll içinde yer aldığı ve bağımsız olduğu göz önüne alındığında, güvenlik açığı kod tabanının geri kalanıyla birlikte bu iki uygulamaya aktarıldı.
Yama için aciliyet, geçmişteki kritik RDP güvenlik açıkları kıyaslandığında biraz daha düşük olsa da, tehdit aktörleri, ortak ağ protokollerinden yararlanan bu düşük kalıcı meyvelerden herhangi birini silahlandırmaya çalışacaklar. Yama uygulaması en önemli öncelik olmalıdır ve ayrıca internete yönelik ve dahili ağ bağlantılı RDP istemcilerinin ve sunucularının kapsamlı ve sürekli bir incelemesi şiddetle tavsiye edilir. Saldırı yüzeyini ortadan kaldırmak veya azaltmak, güvenlik açığından yararlanmaya yönelik en iyi karşı saldırılardan biridir.