Microsoft Windows’un Uzaktan Prosedür Çağrısı (RPC) protokolünde bir güvenlik açığı, saldırganların çekirdek sistem iletişimlerini manipüle etmesini ve sofistike sunucu sahtekarlığı saldırılarını başlatmasına izin veren bir güvenlik açığı keşfedilmiştir.
CVE-2025-49760 olarak adlandırılan kusur, ayrıcalıksız kullanıcıların meşru sistem hizmetleri olarak maskelenmesini ve potansiyel olarak ayrıcalıkları artırmasını veya hassas kimlik bilgilerini çalmasını sağlar.
Güvenlik araştırmacısı SafeBreach, RPC istemcilerini amaçlanan sunuculara bağlayan kritik bir bileşen olan Windows’un uç nokta haritacısındaki (EPM) zayıflıklardan yararlanan yeni bir “EPM zehirlenmesi” tekniği ile güvenlik açığını ortaya çıkardı.
EPM, bir DNS sunucusuna benzer şekilde işlev görür, arayüz tanımlayıcılarını belirli uç noktalara çözer, ancak yetkisiz kayıtları önlemek için uygun doğrulama mekanizmalarından yoksundur.
Saldırı Mekanizması
Güvenlik açığı, EPM’nin RPC arayüzlerini kaydetmeye çalışan süreçlerin meşru hizmetler olup olmadığını doğrulamamasından kaynaklanmaktadır.
Saldırganlar, meşru hizmetler başlamadan önce bilinen, yerleşik arayüzleri kaydederek, müşteri bağlantılarını etkili bir şekilde ele geçirerek bunu kullanabilir.
Bu “yarış koşulu” saldırısı idari ayrıcalıklar gerektirmez, bu da onu özellikle ilgili hale getirir.
Araştırmacı, saldırıyı göstermek için iki araç geliştirdi: önyükleme işlemine geç kayıt yapan savunmasız arayüzleri ve gerçek sömürüyü yürüten RPC-Racer’ı tanımlayan RPC-Recon.
Testte araçlar, Windows Update ve Dağıtım Optimizasyon Hizmetleri de dahil olmak üzere korunan süreçleri, saldırgan tarafından kontrol edilen haydut sunuculara bağlanmaya zorladı.
Çıkarımlar basit hizmet kesintisinin çok ötesine uzanmaktadır. Bir gösteride, araştırmacılar saldırgan kontrollü sunucularla kimlik doğrulaması için Windows’un en güvenli süreç türleri arasında korunan bir süreç ışığını (PPL) başarılı bir şekilde manipüle ettiler.
Bu zorla kimlik doğrulama, makine hesabının NTLM karmasını açıkladı, genellikle sistem düzeyinde işlemler için ayrılmış kimlik bilgileri.
Active Directory ortamlarında saldırı özellikle tehlikeli hale geliyor. RPC sömürüsünü ESC8 gibi sertifika tabanlı saldırılarla birleştirerek, saldırganlar potansiyel olarak düşük ayrıcalıklı kullanıcılardan etki alanı denetleyicilerine yükselebilir ve sonuçta tüm ağ altyapılarından ödün verebilir.
Microsoft, Mart ayında bilgilendirildikten sonra 8 Temmuz 2025’te yayınlanan bir yama ile güvenlik açığını ele aldı.
Düzeltme, bağlantılar kurmadan önce sunucu kimliğini doğrulayan Güvenlik Kalitesi (QoS) kontrollerini uygulayarak depolama hizmeti RPC istemcisini özellikle hedefler.
Ancak, yama sadece bir savunmasız arayüze hitap eder. Güvenlik uzmanları, diğer birçok RPC müşterisinin ve arayüzünün muhtemelen benzer EPM zehirlenme saldırılarına duyarlı kaldığı ve devam eden uyanıklık ve ek güvenlik önlemleri gerektirdiği konusunda uyarıyor.
Kuruluşlar, RPCEPregister API’sının yetkisiz arayüz kayıtlarını izlemesi ve şüpheli RPC etkinlik modelleri için Windows olay izleme günlüklerini analiz etmek de dahil olmak üzere çeşitli algılama stratejileri uygulayabilir.
Microsoft-Windows-RPC sağlayıcısı, bilinmeyen süreçlerin bilinen arabirimlerde bağlantı aldığında belirlenmesine yardımcı olabilecek ayrıntılı olaylar üretir.
Bu keşif, Windows’un süreçler arası iletişim mimarisindeki temel tasarım zayıflıklarını vurgular ve kritik sistem protokollerinde gelişmiş doğrulama mekanizmalarına ihtiyaç olduğunu vurgular.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!