Siber güvenlik araştırmacıları, Microsoft’un Windows Uzaktan Prosedür Çağrısı (RPC) iletişim protokolünde, bir saldırgan tarafından sahte saldırılar yürütmek ve bilinen bir sunucuyu taklit etmek için istismar edilebilecek şimdi paketlenmiş bir güvenlik sorunu ile ilgili yeni bulgular sundular.
CVE-2025-49760 (CVSS skoru: 3.5) olarak izlenen güvenlik açığı, teknoloji devi tarafından Windows depolama sahtekarlığı hatası olarak tanımlanmıştır. Temmuz 2025’te Salı günü aylık yama güncellemesinin bir parçası olarak düzeltildi. Güvenlik kusurunun detayları, bu hafta DEF CON 33 Güvenlik Konferansı’nda Safe Break Araştırmacı Ron Ben Yizhak tarafından paylaşıldı.
“Dosya adının veya Windows depolamasındaki yolun harici kontrolü, yetkili bir saldırganın bir ağ üzerinde sahtekarlık yapmasına izin verir.” Dedi.
Windows RPC protokolü, istemci-sunucu iletişiminde dinamik uç noktaların kullanılmasını sağlamak ve bir RPC istemcisini bir sunucu tarafından kaydedilen bir uç noktaya bağlamak için evrensel olarak benzersiz tanımlayıcılar (UUIDs) ve bir uç nokta haritacı (EPM) kullanır.
Güvenlik açığı esasen, RPC protokolünün temel bir bileşenini manipüle etmeyi ve bir EPM zehirlenme saldırısı olarak adlandırılan bir EPM zehirlenme saldırısı olarak adlandırılan kullanıcıların, bir saldırganın seçimlerinin keyfi bir sunucusuna karşı korunan bir süreçle ilgili olarak zorunlu bir süreçle, meşru, yerleşik bir hizmet olarak poz vermesine izin vermesini mümkün kılar.
EPM’nin işleyişinin etki alanı adı sistemine (DNS) benzer olduğu göz önüne alındığında – bir arayüz uuid’i bir uç noktaya eşler, sadece DNS bir alanı bir IP adresine göre çözer – saldırı, bir tehdit aktörünün DNS verileri ile kötü niyetli web sitelerine yönlendirmesi için Tumppoes – DNS zehirlenmesi gibi oynar –
- EPM’yi zehirle
- Meşru bir RPC sunucusu olarak Masquerade
- RPC istemcilerini manipüle edin
- ESC8 saldırısı ile yerel/alan ayrıcalığına ulaşma
Ben Yizhak, Hacker News ile paylaşılan bir raporda, “Hiçbir şeyin çekirdek hizmetlere ait bilinen, yerleşik arayüzleri kaydetmemi engellemediğini keşfettiğim için şok oldum.” Dedi. Diyerek şöyle devam etti: “Örneğin, Windows Defender’ın benzersiz bir tanımlayıcısı olsaydı, başka hiçbir süreç bunu kaydedemezdi. Ama durum böyle değildi.”
“Kapalı bir hizmet arayüzünü kaydetmeyi denediğimde, müşterisi bunun yerine bana bağlandı. Bu bulgu inanılmazdı – EPM tarafından tamamlanan güvenlik kontrolleri yoktu. Müşterileri yönetici ayrıcalıklarıyla bile çalışmayan bilinmeyen bir sürece bağladı.”
Saldırının özü, bir uç noktaya eşlenmeyen arayüzler bulmaya ve ayrıca birçok hizmetin performans nedenleriyle “gecikmiş başlatma” olarak ayarlanmasından yararlanarak ve önyükleme işlemini daha hızlı hale getirerek sistem çizimlerinden hemen sonra kaydedilebilen arayüzleri bulmaya bağlı.
Başka bir deyişle, manuel başlangıçlı herhangi bir hizmet, bir güvenlik riskidir, çünkü RPC arayüzü önyüklemeye kaydedilmeyecektir, bu da bir saldırganın orijinal hizmetten önce bir arayüz kaydetmesine izin vererek bir kaçırmaya karşı etkili bir şekilde duyarlı hale getirir.
SafeBreach ayrıca RPC-Racer adlı Güvensiz RPC hizmetlerini (örneğin, depolama hizmeti veya storsvc.dll) işaretlemek ve korunan bir işlem ışığı (PPL) işlemini (örneğin, dağıtım optimizasyon hizmeti veya DOSVC.dll) manipüle etmek için makine hesabını saldırgan tarafından seçilen herhangi bir sunucuya göre doğrulamak için kullanabilen bir araç yayınladı.
PPL teknolojisi, işletim sisteminin yalnızca güvenilir hizmet ve süreçleri yüklemesini sağlar ve çalışma süreçlerini kötü amaçlı kodla fesih veya enfeksiyondan korur. Microsoft tarafından Windows 8.1’in yayınlanmasıyla tanıtıldı.
Yüksek seviyede, tüm saldırı dizisi aşağıdaki gibidir –
- Geçerli kullanıcı giriş yaparken yürütülecek planlanmış bir görev oluşturun.
- Depolama hizmetinin arayüzünü kaydedin
- Depolama hizmetine bir RPC isteği göndermek için dağıtım optimizasyon hizmetini tetikleyerek saldırganın dinamik uç noktasına bağlanmasına neden olur
- Teslimat optimizasyon hizmetinin saldırgan tarafından kurulan bir haydut sunucuya SMB paylaşımı almasına neden olan GetStorageEviceInfo () yöntemini arayın.
- Teslimat Optimizasyon Hizmeti, Makine Hesabı kimlik bilgileriyle kötü niyetli SMB sunucusuyla kimlik doğrulaması yaparak NTLM hash’ı sızdırıyor
- Zorlu NTLM karmalarını Web tabanlı Sertifika Kayıt Hizmetlerine (AD CS) aktarmak ve ayrıcalık artışı elde etmek için bir ESC8 saldırısı düzenleyin
Bunu başarmak için, NTLM bilgilerini AD CS sunucusuna geçirerek oluşturulan sertifikayı kullanarak bir Kerberos bilet verme bileti (TGT) istemek için sert bir açık kaynak aracı kullanılabilir ve daha sonra etki alanı denetleyicisinden tüm sırları dökmek için kullanılabilir.
SafeBreach, EPM zehirlenme tekniğinin, orijinal hizmete istekleri ileterek veya birçok arayüz kaydeterek ve talepleri reddederek ortada düşman (AITM) ve hizmet reddi (DOS) saldırıları gerçekleştirmek için daha da genişletilebileceğini söyledi. Siber güvenlik şirketi ayrıca EPM zehirlenmesine karşı savunmasız olan başka müşteriler ve arayüzler olabileceğine dikkat çekti.
Bu tür saldırıları daha iyi tespit etmek için güvenlik ürünleri, RPCEPregister çağrılarını izleyebilir ve kullanıcı modu uygulamaları ve çekirdek modu sürücüleri tarafından gündelik olayları günlüğe alan bir güvenlik özelliği olan Windows için Etkinlik İzleme (ETW) kullanabilir.
Ben Yizhak, “Tıpkı SSL Pinning’in sertifikanın sadece geçerli olmadığını değil, belirli bir genel anahtar kullandığını doğrulaması gibi, bir RPC sunucusunun kimliğinin kontrol edilmesi gerektiğini söyledi.” Dedi.
“Son nokta haritacının (EPM) mevcut tasarımı bu doğrulamayı gerçekleştirmiyor. Bu doğrulama olmadan, müşteriler bilinmeyen kaynaklardan verileri kabul edecek. Bu verilere güvenmek, bir saldırganın müşterinin eylemlerini kontrol etmesine ve saldırganın isteğine manipüle etmesine izin veriyor.”