Güvenlik araştırmacıları, Microsoft’un Windows Anahtar Dağıtım Merkezi (KDC) proxy’sinde, saldırganların etkilenen sunucular üzerinde tam kontrol sahibi olmalarına izin verebilecek önemli bir uzaktan kod yürütme güvenlik açığı ortaya çıkardılar.
CVE-2024-43639 olarak izlenen güvenlik açığı, KDC proxy hizmetinde Kerberos yanıt uzunluğu için eksik bir kontrol nedeniyle bir tamsayı taşmasından kaynaklanmaktadır.
Kasım ayında yamalı olan bu kritik güvenlik kusuru, kimlik doğrulanmamış uzak saldırganların hedef hizmetin ayrıcalıklarıyla keyfi kod yürütmelerini sağlar ve potansiyel olarak tam sistem uzlaşmasına yol açar.
Güvenlik açığı, kimlik doğrulama hizmetlerinde devam eden güvenlik zorluklarını vurgular ve kurumsal ortamlarda derhal yama uygulamalarının önemini vurgular.
Güvenlik Açığı Genel Bakış
Microsoft Windows KDC Proxy güvenlik açığı, Kunlun Lab’ın güvenlik araştırmacıları tarafından Cyber Kunlun ile işbirliği içinde tanımlandı. Kusur, özellikle HTTP’ler üzerinden Kerberos trafiğini proxying ederek uzaktan iş yükleri için Kerberos kimlik doğrulamasını kolaylaştıran bir bileşen olan KDC Proxy Server Hizmetinde (KDCSVC) özellikle mevcuttur.
Güvenlik araştırmacılarının ayrıntılı analizine göre, kırılganlık, Kerberos yanıt uzunluklarının uygunsuz ele alınmasından kaynaklanmakta ve kullanılabilen bir tamsayı taşma koşulu oluşturulmaktadır.
Temel sorun, Kerberos yanıtlarının uzunluğu için doğrulama kontrollerinin yokluğunda yatmaktadır ve kod yürütülmesi için kaldırılabilecek bellek bozulması hatalarını tetiklemek için kötü bir şekilde hazırlanmış yanıtlara izin verir.
Windows ortamlarında temel bir kimlik doğrulama protokolü olan Kerberos, Active Directory alanlarında kritik bir rol oynar. Uzak istemcilerin kimliği doğrulaması gerektiğinde ancak etki alanı denetleyicilerine doğrudan ağ bağlantısından yoksun olduğunda, KDC proxy bir aracı görevi görür ve HTTPS üzerinden kimlik doğrulama isteklerini iletir.
Bu proxy işlevselliği özellikle RDP Gateway ve DirectAccess gibi hizmetler için önemlidir. Savunmasız bileşen, /kdcproxy uç noktasına gönderilen HTTP posta taleplerinde Kerberos isteklerini saran Kerberos KDC Proxy Protokolünü (KKDCP) uygular.
İstismarın teknik analizi
Sömürü süreci, KDC proxy’sinin Kerberos yanıtlarını nasıl ele aldığını hedefleyen sofistike bir olay zincirini içerir. Bir saldırgan, KDC proxy’sini bir Kerberos isteğini kontrolleri altındaki bir sunucuya iletmeye yönlendirerek başlar, bu da daha sonra manipüle edilmiş uzunluk değerleriyle özel olarak hazırlanmış bir Kerberos yanıtı döndürür.
Güvenlik açığı, KPSSVC.dll dosyasındaki KPSSOLTRECVDataIocompletion () işlevinden kaynaklanır;
Yanıtları işlerken, KDC proxy, mesaj uzunluğunu belirlemek için ilk dört baytı okur, ardından karşılık gelen bayt sayısını okumaya çalışır.
Bununla birlikte, sistem bu uzunluk değerlerini düzgün bir şekilde doğrulamaz, bu da saldırganların tamsayı taşımalarını tetikleyen son derece büyük boyutlar belirtmesine izin verir.
Bu bellek bozulmaları, sistem belirtilen mesaj boyutu için yetersiz olan bellek arabelleğini tahsis etmeye veya yeniden tahsis etmeye çalıştığında ASN.1 kodlama işlemi sırasında ortaya çıkar.
KDC-PROXY-MESSAGE::= SEQUENCE {
kerb-message [0] OCTET STRING,
target-domain [1] KERB-REALM OPTIONAL,
dclocator-hint [2] INTEGER OPTIONAL
}Özellikle güvenlik açığının mevcut doğrulama mekanizmalarını nasıl atladığı yönünde. Normalde Kerberos yanıtlarını kontrol eden doğrulama işlevi, yanıtta spesifik bayt değerleri ayarlanarak atlatılabilir. Bu, saldırganların güvenlik kontrollerini tamamen atlamasına ve doğrudan savunmasız kod yollarına geçmesine olanak tanır.
Etki ve etkilenen sistemler
Güvenlik açığı sadece KDC proxy sunucuları olarak yapılandırılmış sunucuları etkiler ve etki alanı denetleyicilerini etkilemez. Bu, sadece KDCSVC hizmetini aktif olarak kullanan ortamlar risk altında olduğundan, savunmasız sistemlerin kapsamını biraz sınırlar.
Bununla birlikte, etkilenen sistemler için, sonuçlar şiddetli olabilir ve potansiyel olarak saldırganların hedef hizmetin ayrıcalıkları ile kod yürütmesine izin verebilir, bu da tam sistem uzlaşmasına yol açabilir.
KDC proxy’sine dayanan uzaktan kimlik doğrulama hizmetlerini kullanan kuruluşlar özellikle savunmasızdır. Bu, harici kullanıcılar için uzaktan kimlik doğrulamasını kolaylaştırmak için RDP ağ geçidi kullanan ortamları veya doğrudan iletişimi içerir.
Sömürü, kimlik doğrulaması gerektirmez, bu da saldırganların yalnızca KDC proxy sunucusuna sömürü denemek için ağ erişimine ihtiyaç duyduğundan özellikle tehlikeli hale getirir.
4 Mart 2025 itibariyle vahşi doğada bu güvenlik açığından yararlanan hiçbir saldırı tespit edilmemiş olsa da, ayrıntılı teknik bilgilerin ifşa edilmesi gelecekteki sömürü girişimlerinin olasılığını arttırmaktadır.
Azaltma ve iyileştirme
Microsoft, KDC Proxy Server hizmetinde uygun uzunluk doğrulama kontrolleri uygulayarak Kasım 2024 güvenlik güncellemelerinde CVE-2024-43639’u ele aldı. Özellikle, yama, işlenmeden önce Kerberos yanıt uzunluklarını doğrulamak için savunmasız işlevi değiştirdi.
Güvenlik araştırmacıları, Microsoft’un ASN.1 kütüphanesindeki temel güvenlik açığını düzeltmek yerine KDC vekaletindeki sorunu ele almasının biraz sıra dışı olduğunu ve bu kütüphanenin Windows ekosisteminde daha geniş kullanımı ile ilgili ek hususlar olabileceğini düşündürdü.
KDC proxy sunucuları çalıştıran kuruluşlar için, anında yama birincil öneridir. Microsoft, Kasım 2024 güvenlik güncellemelerinin uygulanmasının önemini vurgulayarak bu güvenlik açığı için alternatif hafifletmeler sağlamamıştır.
Yamalama hemen mümkün değilse, kuruluşlar güncellemeler uygulanana kadar KDC Proxy hizmetini geçici olarak devre dışı bırakmayı düşünmelidir, ancak bu, kurumsal ağ dışındaki kullanıcılar için uzak kimlik doğrulama özelliklerini etkileyebilir.
Güvenlik ekipleri ayrıca potansiyel sömürü girişimleri için izleme uygulamalıdır. Tespit kılavuzu, TCP bağlantı noktasının 88 trafiğinin, 0x80000000 (2.147,483,648) veya daha büyük mesaj uzunluğu önekleri ile Kerberos yanıtları için trafiğin izlenmesini önermektedir, bu da bu güvenlik açığının kullanımı ile ilgili potansiyel olarak ilişkili şüpheli aktiviteyi gösterecektir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free