Microsoft’un uzak masaüstü ağ geçidi (RD Gateway), saldırganların etkilenen sistemlerde uzaktan kötü amaçlı kod yürütmesine izin verebilecek kritik bir güvenlik açığı.
CVE-2025-21297 olarak izlenen güvenlik açığı, Microsoft tarafından Ocak 2025 güvenlik güncellemelerinde açıklandı ve o zamandan beri vahşi doğada aktif olarak kullanıldı.
Kunlun laboratuvarından Victorv (Tang Tianwen) tarafından keşfedilen ve bildirilen kusur, uzak masaüstü ağ geçidi hizmetinin başlatılması sırasında eşzamanlı soket bağlantıları tarafından tetiklenen bir kullanımdan sonraki (UAF) hatadan kaynaklanmaktadır.
.png
)
Özellikle, güvenlik açığı, CTSGMSGServer :: GETCTSGMSGServerInstance işlevi içinde AAEDE.DLL kütüphanesinde bulunur;
Güvenlik danışmanlığı, “Güvenlik açığı, birden fazla iş parçacığı aynı küresel işaretçinin üzerine yazabildiğinde, referans sayımlarını bozabildiğinde ve sonuçta klasik bir UAF senaryosu olan sarkan bir işaretçinin dereferinin dereflenmesine yol açtığında ortaya çıkar” diye açıklıyor.
Yarış koşulu, saldırganların bellek tahsisi ve işaretçi atamasının senkronizasyon dışında gerçekleştiği ve potansiyel olarak keyfi kod yürütülmesine yol açtığı bir zamanlama sorununu kullanmasına izin verir. Microsoft, güvenlik açığı 8.1’lik bir CVSS skoru atadı ve bu da yüksek ciddiyeti gösterdi.
Windows Uzak Masaüstü Ağ Geçidi UAF Güvenlik Açığı
Araştırmacılara göre, başarılı sömürü bir saldırgan gerektirir:
- RD ağ geçidi rolünü çalıştıran bir sisteme bağlanın.
- RD ağ geçidine eşzamanlı bağlantıları tetikleyin (birden çok soket yoluyla).
- Bellek tahsisi ve işaretçi atamasının senkronizasyon dışında gerçekleştiği zamanlama sorunundan yararlanın.
- Bir bağlantının işaretçinin üzerine yazması için bir bağlantının, diğeri referans vermeyi bitirmeden önce.
İstismar, iş parçacıkları arasında dokuz aşamalı bir yığın çarpışması zaman çizelgesini içerir, bu da serbest bir bellek bloğunun nihai olarak kullanılmasına ve keyfi kod yürütülmesi için kapıyı açar.
Windows Server’ın güvenli uzaktan erişim için RD ağ geçidini kullanan birden fazla sürümü aşağıdakileri içeren savunmasızdır:
- Windows Server 2016 (çekirdek ve standart kurulumlar).
- Windows Server 2019 (çekirdek ve standart kurulumlar).
- Windows Server 2022 (çekirdek ve standart kurulumlar).
- Windows Server 2025 (çekirdek ve standart kurulumlar).
RD Gateway’i çalışanlar, yükleniciler veya uzaktan çalışan ortaklar için kritik bir erişim noktası olarak kullanan kuruluşlar özellikle risk altındadır.
Microsoft, Mutex tabanlı senkronizasyonu tanıtarak Salı günü Mayıs 2025 Patch’teki güvenlik açığını ele aldı ve yalnızca bir iş parçacığının herhangi bir zamanda küresel örneği başlatabilmesini sağladı. Aşağıdaki güvenlik güncellemeleri mevcuttur:
- Windows Server 2016: KB5050011’i güncelleyin.
- Windows Server 2019: KB5050008’i güncelleyin (derleme 10.0.17763.6775).
- Windows Server 2022: KB5049983’ü güncelleyin (derleme 10.0.20348.3091).
- Windows Server 2025: KB5050009’u güncelleyin (derleme 10.0.26100.2894).
Güvenlik uzmanları kuruluşları bu yamaları hemen uygulamaya teşvik ediyor. “Bu güvenlik açığı, güvenli uzaktan erişim için uzaktan masaüstü ağ geçidine dayanan kurumsal ortamlar için kritik bir riski temsil ediyor” dedi.
Yamalar uygulanana kadar, kuruluşlara olağandışı etkinlik için RD ağ geçidi günlüklerini izlemeleri ve gelen bağlantıları güvenilir kaynaklarla sınırlamak için ağ düzeyinde korumaların uygulanmasını düşünmeleri önerilir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri