Microsoft, Windows uzak masaüstü hizmetlerinde, saldırganların bir ağ üzerinden savunmasız sistemlerde keyfi kod yürütmesine izin verebilecek iki kritik güvenlik açığını açıkladı.
Belirlenen CVE-2025-29966 ve CVE-2025-29967, bu yığın tabanlı tampon taşma kusurları sırasıyla Windows uzak masaüstü protokolünü (RDP) ve uzak masaüstü ağ geçidi (RD ağ geçidi) hizmetini etkiler.
Her iki güvenlik açığı da CVSS V3.1 puanı 8.8 taşıyarak kurumsal ağları ve bulut ortamlarını bozma potansiyellerini vurguluyor.
.png
)
Aktif sömürü bildirilmemesine rağmen, açıklama uzaktan erişim teknolojileriyle ilişkili kalıcı risklerin altını çizmektedir.
Güvenlik açıkları, yaygın olarak kullanılan iki Microsoft hizmetinde uygunsuz bellek yönetiminden kaynaklanmaktadır.
CVE-2025-29966 Özellikle fiziksel ve sanal makinelere uzaktan bağlantı sağlayan Windows uzak masaüstü hizmetini hedefler.
Muadili CVE-2025-29967, RD Gateway Hizmetini etkiler-harici kullanıcılar için RDP bağlantılarını doğrulayan ve brokerler.
Her iki kusur da, kimlik doğrulanmamış saldırganların maruz kalan sistemlere özel hazırlanmış ağ paketleri göndererek yığın tabanlı tampon taşmalarını tetiklemesine izin verir.
Yığın taşmaları, bir işlem, yığındaki tahsis edilen bellek arabelleğinin ötesinde verileri yazdığında, bitişik veri yapılarını potansiyel olarak bozduğunda veya yürütme akışını ele geçirdiğinde ortaya çıkar.
Bu durumda, başarılı sömürü, kullanıcı etkileşimi gerektirmeden saldırganlara sistem düzeyinde ayrıcalıklar verebilir.
Microsoft’un danışmanlığı, saldırı vektörünün ağ tabanlı olduğunu, kimlik doğrulama veya hedef ortama önceden erişim için hiçbir önkoşul olmadığını belirtiyor.
Bu, güvenlik açıklarını, hibrid çalışma ortamlarında yaygın kalan halka açık RDP uç noktalarına sahip kuruluşlar için özellikle tehlikeli hale getirir.
İstismarın teknik analizi
Her iki güvenlik açığı için CVSS V3.1 vektör dizeleri (AV: N/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H) kritik özellikleri ortaya çıkarır.
Saldırganlar, bu kusurları düşük saldırı karmaşıklığı (AC: L) ile bir ağ üzerinden (AV: N) kullanabilir ve ayrıcalık gerektirmez (PR: N).
Kullanıcı etkileşimi “gerekli” (UI: R) olarak derecelendirilirken, bu muhtemelen açık kullanıcı eylemlerinden ziyade temel ağ düzeyinde etkileşimleri ifade eder.
Etkiler gizlilik, bütünlük ve kullanılabilirlik arasında eşittir, tamamlanmamış sistemlerde mümkün olan tam uzlaşma (C: H/I: H/A: H) mümkündür.
Özellikle, Microsoft’un sömürülebilirlik değerlendirmesi her iki güvenlik açıklarını “sömürü daha az olası” olarak sınıflandırır.
Bu, açıklama sırasında halka açık kavram kanıtı kodunun veya aktif sömürü kampanyalarının bulunmamasını yansıtır.
Bununla birlikte, Bluekeep’in hızlandırılmış yama dağıtımının gerekli olduğunu öne sürdüğü gibi, RDP güvenlik açıklarını silahlandıran fidye yazılım gruplarının tarihsel emsali.
Güvenlik araştırmacıları, sofistike saldırganların istismar geliştirmek için yamaları tersine çevirebileceği konusunda uyarıyor, bu da bir süreç genellikle yüksek değerli hedefleme senaryolarında haftalar veya günler sürüyor.
Azaltma stratejileri ve satıcı yanıtı
Microsoft, Mayıs 2025 Patch Salı döngüsünün bir parçası olarak her iki güvenlik açıkını da ele alan güvenlik güncellemeleri yayınladı.
Kuruluşlar, bu yamaların uzak masaüstü hizmetlerini, özellikle de internete maruz kalan tüm sistemlere uygulanmaya öncelik vermeleri istenir.
Anında yama yapmanın mümkün olmadığı ortamlar için Microsoft şunları önerir:
- Ağ segmentasyonu ve güvenlik duvarı kuralları aracılığıyla RDP ve RD ağ geçidi erişimini kısıtlamak
- Ekstra kimlik doğrulama katmanı eklemeyi ağ seviyesi kimlik doğrulamasını (NLA) etkinleştirme
- Kimlik için Microsoft Defender’ı kullanarak anormal RDP Oturum Etkinliği için İzleme
Mevcut kamu istismar eksikliği bir iyileştirme penceresi sağlarken, bu kusurların kritik şiddeti acil eylem gerektirir.
Uzaktan çalışma RDP’ye büyük ölçüde güvenmeye devam ettikçe, bu güvenlik açıkları, uzaktan erişim altyapısının sertleşmesinin önemini açık bir hatırlatma görevi görür.
İşletmeler, uzlaşma girişimlerini tanımlamak için sürekli güvenlik açığı tarama ve uç nokta algılama sistemleri ile yama dağıtımını tamamlamalıdır.
CVE-2025-29966 ve CVE-2025-29967’nin keşfi, uzaktan erişim araçlarının ana saldırı hedefleri olarak kaldığı bir dönemde uyanık yama yönetimi ihtiyacını güçlendirir.
İstismar gelişimi önemli bir çaba gerektirse de, saldırganların tamamlanması için potansiyel getiri bu güvenlik açıklarını sürekli bir tehdit oluşturur.
Kuruluşlar, riskleri azaltmak için uzak masaüstü teknolojilerinin operasyonel avantajlarını sağlam güvenlik uygulamalarıyla dengelemelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!