Windows Server’ı etkileyen kritik 0 tıklamalı uzaktan kod yürütme (RCE) güvenlik açığı için PoC açığı yayımlandı. Bu kusur, 2000’den en son 2025 önizlemesine kadar Windows Server sürümlerini etkiler.
CVE-2024-38077 olarak tanımlanan bu güvenlik açığı, Windows Uzak Masaüstü Lisanslama Hizmeti’nde bulunuyor ve herhangi bir kullanıcı etkileşimi olmadan istismar edilebilmesi nedeniyle önemli bir tehdit oluşturuyor.
“MadLicense” olarak adlandırılan güvenlik açığı, saldırganların kullanıcı etkileşimi gerektirmeden güvenlik açığı bulunan sistemlerde keyfi kod çalıştırmasına olanak tanıyan bir ön kimlik doğrulama RCE kusurudur.
Kullanıcı etkileşimi gerektiren birçok RCE güvenlik açığının aksine, CVE-2024-38077 güvenlik açığı herhangi bir kullanıcı eylemi olmadan kullanılabiliyor.
Bu durum, genellikle Uzak Masaüstü Hizmetleri etkinleştirilmiş sunucularda dağıtılan Uzak Masaüstü Lisanslama Hizmetinin yaygın kullanımı göz önüne alındığında özellikle endişe vericidir. Hizmet, uzak masaüstü erişimi için lisansları yönetir ve verir ve bu da onu birçok iş ortamında kritik bir bileşen haline getirir.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Exploit Yayımlandı – MadLicense
Bu kusur, yığın taşması güvenlik açığından kaynaklanmaktadır. CDataCoding::DecodeData işlevi. Bu işlev, kullanıcı tarafından kontrol edilen girdiyi uygunsuz bir şekilde işler ve bu da bir arabellek taşması durumuna yol açar.
Araştırmacılar Ver, Lewis Lee ve Zhiniang Peng’in PoC istismarı, bu güvenlik açığının Windows Server 2025’teki modern güvenlik önlemlerini aşmak ve tam uzaktan kod yürütme yeteneklerine ulaşmak için nasıl kullanılabileceğini gösteriyor.
Bu istismar, lisanslama hizmetini manipüle ederek uzak bir DLL’yi yükleyerek saldırganların hizmetin süreci içinde keyfi kabuk kodu yürütmesine olanak tanır. Sağlanan PoC bir sözde kod olmasına ve kötüye kullanımı önlemek için kasıtlı olarak gizlenmesine rağmen, güvenlik açığının ciddiyetini ve istismar potansiyelini vurgular.
170.000’den fazla Uzak Masaüstü Lisanslama Hizmetinin genel internete açık olmasıyla, bu güvenlik açığının potansiyel etkisi önemlidir. Güvenlik açığının 0 tıklama niteliği, herhangi bir kullanıcı etkileşimi olmadan istismar edilebildiğinden, yaygın saldırı riskini artırdığından, onu özellikle tehlikeli hale getirir.
Microsoft, bu güvenlik açığının istismar edilebilirliği konusunda bilgilendirildi ancak başlangıçta bunu “istismar olasılığı daha düşük” olarak işaretledi. Buna rağmen, güvenlik araştırmacıları, olası istismarı önlemek için etkilenen sistemlere yama uygulanmasının aciliyetini vurguluyor.
Araştırmacılar, “Tüm azaltma önlemlerini atlatmak ve Windows Server 2025’te (en güvenli Windows Server olarak kabul edilir) ön kimlik doğrulamalı uzaktan kod yürütme (RCE) saldırısı gerçekleştirmek için tek bir güvenlik açığının nasıl kullanıldığını gösteriyoruz” diye eklediler.
Riski azaltmak için kuruluşların Microsoft’un en son güvenlik güncellemelerini uygulamaları önerilir. Ayrıca, ağ yöneticileri saldırı yüzeyini azaltmak için ağ segmentasyonu ve sıkı erişim kontrolleri gibi ek güvenlik önlemlerini uygulamayı düşünmelidir.
Keşfin arkasındaki araştırmacılar, Microsoft’a güvenlik açığı ve istismar edilebilirliği hakkında ayrıntılar sağlayarak sorumlu ifşa uygulamalarına giriştiler. Güvenlik açığıyla ilişkili riskler hakkında farkındalık yaratmayı ve etkilenen sistemleri güvence altına almak için derhal harekete geçilmesini teşvik etmeyi amaçlıyorlar.
Microsoft, başlangıçta bu güvenlik açığının istismar edilebilirliğini “daha az olası” olarak nitelendirse de, kavram kanıtı (PoC), yeni nesil güvenlik iyileştirmeleri sunmak üzere tasarlanan en son Windows Server 2025’te bile modern güvenlik önlemlerini aşabileceğini gösteriyor.
Şu anda CVE-2024-38077 güvenlik açığı için bilinen bir istismar dolaşmıyor. Microsoft bir yama yayınladı ve kullanıcıların potansiyel riskleri azaltmak için bu güncellemeyi uygulaması hayati önem taşıyor.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download