Netskope’un Windows istemcisinde, saldırganların düşük ayrıcalıklı bir kullanıcıdan tam sistem düzeyinde erişime kadar ayrıcalıkları artırmasına izin verebilecek ciddi bir güvenlik açığı keşfedildi.
CVE-2025-0309 olarak izlenen kusur, R129 sürümünden önce Netskope Windows istemcisinin tüm sürümlerini etkiler ve şirketi acil güvenlik güncellemelerini yayınlamaya teşvik etti.
Rogue Server Trust’tan yararlanmak
Güvenlik açığı, Netskope müşterinin kayıt sürecinin etrafında, güvenlik araştırmacıları Richard Warren ve Amber Wolf’tan David Cash’in sofistike bir saldırı zinciri ile manipüle edilebileceği.
İstismar, düşük ayrıcalıklı müşteri kullanıcı arayüzü işlemi (stagentui) ile sistem ayrıcalıklarıyla çalışan ayrıcalıklı hizmet (stagentsVC) arasındaki iletişimden yararlanır.
%20(1).webp)
Saldırı süreci birkaç temel adım içerir:
- Saldırganlar, haydut bir sunucu URL’si içeren özel olarak biçimlendirilmiş bir JSON Web jetonu (JWT) üretiyorlar.
- Kötü niyetli jeton, komut kimliği 148 kullanılarak istemcinin süreçler arası iletişim (IPC) kanalı aracılığıyla gönderilir.
- Ayrıcalıklı hizmet, meşru Netskope altyapısı yerine saldırganın sahte sunucusuna istekte bulunmaya başlar.
- Rogue Server kötü amaçlı yapılandırmalarla yanıt verir ve hileli bir sertifika yetkilisi kurar.
- Geri ihlal edilen güven zinciri nedeniyle meşru görünen geri alınmış bir yazılım güncellemesi sunulmaktadır.
Rogue Server daha sonra sistemin güvenilir kök deposuna hileli bir sertifika otoritesi kurmak ve geri alınmış bir yazılım güncellemesi sunmak da dahil olmak üzere kötü amaçlı yapılandırmalarla yanıt verebilir.
Saldırgan Sertifika Otoritesini kontrol ettiğinden, müşterinin güvenlik kontrolleri için meşru görünen kötü amaçlı yazılım yükleyicileri imzalayabilirler.
Saldırgan hem imzalama sertifikaları hem de sunucu yanıtları üzerinde tam kontrole sahip olduğu için müşterinin yerleşik korumaları atlanabilir.
.webp)
Kaçma Teknikleri Güvenliği Yeniyor
Araştırmacılar Netskope’un güvenlik korumalarını atlatmanın birçok yolu keşfettiler. Müşteri, taleplerin korunan dizinlerde bulunan meşru Netskope süreçlerinden geldiğini kontrol ederek IPC arayanları doğrulamaya çalışır.
Bununla birlikte, bu koruma, nsdiag.exe gibi onaylanmış işlemlere kod enjekte edilerek ve bunları kötü niyetli IPC iletişimi için bir vekil olarak kullanılarak atlanabilir.
.webp)
Netskope’un çekirdek seviyesi sürücü korumaları yoluyla korunan süreçlere yetkisiz erişimi önlemek için tasarlanan “Kurcalama Kanıtı” özelliği bile yenilebilir.
Araştırmacılar, askıya alınmış bir durumda yeni bir Netskope süreci oluşturan, kritik sistem işlevlerini kötü amaçlı kodla yazan ve daha sonra saldırı yüklerini yüklemek için yürütmeye devam eden bir teknik geliştirdiler.
Ayrıca, müşterinin IPC iletişimlerini şifreleyen daha yeni sürümleri bu saldırıya karşı bağışık değildir.
Şifreleme, Windows kayıt defterinden şifreleme anahtarı ve başlatma vektörü olarak kolayca elde edilebilir değerleri kullanır ve saldırganların şifreli mesajları şifresini çözmesine ve dövmesine izin verir.
Netskope yamalar ve rehberlik
Netskope, bu kritik güvenlik açığını ele almak için hızlı bir şekilde harekete geçti. 13 Ağustos 2025’te şirket, Windows istemcilerinin R129 sürümünü yayınladı ve bu da haydut sunuculara kaydolmayı önlemek için meşru Netskope alanlarının sert kodlanmış bir izin verilmesi uyguladı.
Şirket ayrıca güvenlik açığı hakkında ayrıntılı bilgi sağlayan güvenlik danışmanlığı NSKPSA-2025-002 yayınladı.
Netskope kullanan kuruluşların hemen R129 sürümüne güncellemeleri şiddetle tavsiye edilir.
Şirket ayrıca, güvenilir kök mağazasındaki şüpheli sertifikaların izlenmesi, Netskope hizmetinden olağandışı MSI kurulumlarını izlemek ve beklenmedik eklenti URL’leri veya uzlaşma girişimlerini gösterebilecek kiracı kimlikleri için günlük dosyalarını gözden geçirme de dahil olmak üzere güvenlik ekipleri için algılama yöntemleri sağlamıştır.
.webp)
Bu güvenlik açığı, koruma sağlamak için ayrıcalıklı sistem erişimi ihtiyacının saldırganlar için cazip hedefler yaratabileceği kurumsal güvenlik yazılımının karşılaştığı karmaşık güvenlik zorluklarını vurgulamaktadır.
Müşterinin mimarisi ve iletişim protokolleri hakkında derin teknik bilgi gerektiren bu saldırının sofistike doğası, ortak siber suçlardan ziyade ileri düzeyde kalıcı tehdit aktörleri veya güvenlik araştırmacıları için ilgisini çekeceğini göstermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!