Uzak Masaüstü Protokolü (RDP) sonsuza dek var olmuş gibi görünüyorsa, bunun nedeni (en azından birkaç yıl içinde yükselen ve düşen birçok teknolojiyle karşılaştırıldığında) olmasıdır. “Uzak Masaüstü Protokolü 4.0” olarak bilinen ilk sürüm, 1996 yılında Windows NT 4.0 Terminal Sunucusu sürümünün bir parçası olarak piyasaya sürüldü ve kullanıcıların bir ağ bağlantısı üzerinden Windows tabanlı bilgisayarlara uzaktan erişmesine ve onları kontrol etmesine izin verdi.
Aradan geçen on yıllarda RDP, Windows tabanlı sistemlerin uzaktan erişimi ve yönetimi için yaygın olarak kullanılan bir protokol haline geldi. RDP, uzaktan çalışmayı, BT desteğini ve sistem yönetimini sağlamada çok önemli bir rol oynar ve çeşitli uzak masaüstü ve sanal masaüstü altyapısı (VDI) çözümlerinin temeli olarak hizmet etmiştir.
RDP’nin yaygın kullanımının dezavantajı, bir RDP ağ geçidindeki bir Uzaktan Kod Yürütme (RCE) güvenlik açığının ciddi sonuçlara yol açabilmesi, potansiyel olarak önemli hasara yol açabilmesi ve etkilenen sistemin güvenliğini ve bütünlüğünü tehlikeye atabilmesidir. Saldırganın bakış açısına göre, bir RCE güvenlik açığından yararlanmak, etkilenen sisteme yetkisiz erişim sağlamanın bir yoludur, sistem üzerinde kontrol sahibi olmalarına, güvenlik önlemlerini atlamalarına ve yanal hareket, veri hırsızlığı, kötü amaçlı yazılım dağıtımı, sistem kesintisi ve daha fazlasını içerebilecek kötü niyetli eylemler gerçekleştirmelerine olanak tanır.
Etkinin ciddiyetinin, belirli güvenlik açığı, saldırganın amacı ve yetenekleri, hedeflenen sistemin önemi ve yürürlükteki güvenlik önlemleri dahil olmak üzere çeşitli faktörlere bağlı olacağını unutmamak önemlidir. Yine de, yetkisiz erişim, veri ihlalleri ve sistemlerin riske atılması potansiyeli göz önüne alındığında, RDP’deki RCE güvenlik açıkları, acil müdahale ve hafifletme gerektiren kritik bir güvenlik sorunu olarak kabul edilir.
Şaşırtıcı bir şekilde (dili sımsıkı yanakta), Microsoft son zamanlarda tam olarak böyle bir senaryo için güvenlik bültenleri yayınladı. Lütfen yama!
RDP’den Yararlanmak İçin Kullanılan DLL Ele Geçirme – CVE-2023-24905
Dinamik bağlantı kitaplığı (DLL) ele geçirmesinden yararlanan RDP istemcisi, Windows işletim sistemi dizini yerine geçerli çalışma dizininden (CWD) bir dosya yüklemeye çalıştığında tehlikeye girdi.
Araştırmacının blogundan:
“DLL’deki simgeleri ve dizileri değiştirerek yüklenen kaynakları taklit edebileceğimiz ortaya çıktı, bu da ilginç bir kimlik avı saldırısı vektörü sunabilir. Bu senaryoda, bir saldırgan, kullanıcıyı belirli eylemleri gerçekleştirmesi için yanıltmak üzere DLL içindeki simgeler ve dizeler gibi görsel öğeleri manipüle edebilir. Örneğin, bir saldırgan, simgeleri ve dizeleri değiştirerek bir hata mesajını yasal bir sistem bildirimi gibi gösterebilir veya tehlikeli bir eylemi (bir dosya indirmek gibi) görünüşte zararsız bir şeye dönüştürebilir (bir yazılım güncellemesi gerçekleştirmek gibi).”
RCE, DLL dizesini kötü amaçlı bir dosyaya dönüştürmekten, onu yaygın olarak erişilen bir dosya paylaşım konumuna yerleştirmekten ve ardından bir kullanıcıyı onu çalıştırması için kandırmaktan gelir. İlginç bir şekilde, bu açıktan yararlanma yalnızca gelişmiş RISC makinelerinde (ARM) işlemcilerde Windows işletim sistemi çalıştıran cihazları etkiledi. Hem RDP hem de ARM üzerindeki Windows işletim sistemi, endüstriyel kontrol sistemlerinde (ICS) ve diğer operasyonel teknoloji (OT) ortamlarında yaygın olarak kullanılır ve bu da endüstriyel işletmeleri ve kritik altyapıyı bu açıktan yararlanmanın ana hedefi haline getirir.
RDP Ağ Geçidi Güvenlik Açığı Uyumluluğu Tehdit Edebilir – CVE-2023-35332
Normal çalışma altında, RDP Ağ Geçidi protokolü, güvenli iletişim için yaygın olarak kabul edilen bir protokol olan Aktarım Kontrol Protokolü (TCP) ve Aktarım Katmanı Güvenliği (TLS) sürüm 1.2’yi kullanarak birincil bir güvenli kanal oluşturur. Ek olarak, kullanıcı datagram protokolü (UDP) üzerinden datagram taşıma katmanı güvenliği (DTLS) 1.0 uygulayan ikincil bir kanal kurulur.. İyi bilinen güvenlik açıkları ve güvenlik riskleri nedeniyle DTLS 1.0’ın Mart 2021’den beri kullanımdan kaldırıldığını kabul etmek önemlidir.
Araştırmacının blogundan:
“Bu RDP Ağ Geçidi güvenlik açığı, hem önemli bir güvenlik riski hem de önemli bir uyumluluk sorunu sunuyor. DTLS 1.0 gibi kullanımdan kaldırılmış ve güncelliğini yitirmiş güvenlik protokollerinin kullanılması, yanlışlıkla endüstri standartları ve düzenlemelerine uyulmamasına yol açabilir.”
İkincil UDP kanalı, özellikle bilinen birçok sorunu olan bir protokol kullandığı için (DTLS 1.0) endişe vericidir. En büyük zorluk, operatörlerin bu eski protokole uymadıklarını bile bilmemeleridir.
Çözüm
Bu güvenlik açıklarının sonuçlarından kaçınmak için yapılacak en iyi şey, RDP istemcilerinizi ve ağ geçitlerinizi Microsoft’un yayımladığı yamalarla güncellemektir. Ancak kaçınılmaz olarak, RDP’de başka RCE’ler olacaktır ve bu, önemli bir sonraki adımın sağlam erişim kontrolleri uygulayarak tehdit aktörlerinin önüne geçmek olduğu anlamına gelir. RDP, yama yapılması neredeyse imkansız olan OT/ICS ortamlarında yaygın olarak kullanıldığından, bu sistemleri çalıştıran kuruluşların sistem kullanılabilirliği, işletim güvenliği ve daha fazlası ile ilgili özel gereksinimlerini karşılayan güvenlik araçları bulmaları özellikle önemlidir.