Giriş
Microsoft, yeni Windows güvenlik uyarılarının Remote Desktop (.rdp) dosyaları açılırken yanlış görüntülendiğini doğrulamıştır. Bu durum, hem kullanıcı deneyimi hem de siber güvenlik açısından önemli riskler taşımaktadır.
Saldırı Nasıl Çalışıyor?
Yeni güvenlik önlemleri, kötü niyetli RDP bağlantı dosyalarının cihazlarda kullanılmasını önlemeyi amaçlamakta, ancak Windows 11 (KB5083768 & KB5083769), Windows 10 (KB5082200) ve Windows Server (KB5082063) gibi tüm desteklenen versiyonları etkileyen bir sorun ortaya çıkarmıştır. Microsoft’a göre, Remote Desktop (RDP) dosyaları açılırken güvenlik uyarılarının bazı durumlarda doğru şekilde görüntülenmediği tespit edilmiştir.
Etkilenen sistemlerde, uyarı pencerelerindeki metin zor okunur hale gelmekte ve butonlar yerinden kaymakta, bu da güvenlik diyaloğuyla etkileşimi zorlaştırmaktadır. Bu sorun, farklı ekran ölçeklendirme ayarları kullanılan birden fazla monitör kullanıldığında meydana gelmektedir (örneğin, bir ekran %100 iken diğerinin %125 ayarına sahip olması).
Etkilenen Sistemler
Etkilenen Windows versiyonları:
- Windows 11 – KB5083768 & KB5083769
- Windows 10 – KB5082200
- Windows Server – KB5082063
Bu sorun, kullanıcılara ilk RDP dosyasını açtıklarında bir eğitim amaçlı uyarı gösterilmesine neden olur. Bu uyarıda, RDP dosyasının doğruluğuna dair riskler yer almaktadır.
Çözüm ve Korunma
RDP dosyaları açıldığında, bir güvenlik diyaloğu görüntülenmekte ve bu diyaloğu etkileşime girmeden önce, dosyanın doğrulanmış bir yayıncı tarafından imzalanıp imzalanmadığı, uzaktan sistemin adresi ve tüm yerel kaynak yönlendirmeleri listelenmektedir. Varsayılan olarak, bu yönlendirmelerin tümü devre dışıdır.
Eğer RDP dosyaları dijital olarak imzalanmamışsa, Windows “Dikkat: Bilinmeyen uzaktan bağlantı” uyarısını gösterir ve yayıncıyı bilinmeyen olarak etiketler. İmzalanmış dosyalar içinse Windows, yayıncıyı gösterir ve kullanıcıları bağlantı öncesinde bu yayıncıların meşruiyetini kontrol etmeye yönlendirir.
RDP dosyaları, yöneticilerin yerel kaynakları uzaktan ana bilgisayara otomatik olarak yönlendirebilmesi nedeni ile kurumsal ortamlarda yaygın olarak kullanılmaktadır. Ancak, tehdit aktörleri bu dosyaları özellikle kimlik avı kampanyalarında kötüye kullanmaktadır. Örneğin, Rusya destekli APT29 hacking grubu daha önce bu dosyaları kullanarak kurbanların cihazlarından kimlik bilgilerini ve belgeleri çalmıştır.
Aksiyon
Kullanıcıların, etkilenmiş sistemlerde güvenlik güncellemelerini (KB5083768, KB5083769, KB5082200, KB5082063) derhal uygulamaları ve RDP dosyalarını açarken dikkatli olmaları gerekmektedir. Ek olarak:
- RDP dosyalarını açmadan önce daima güvenilir kaynaklardan doğrulayın.
- Monitör ölçeklendirme ayarlarınızı kontrol edin ve uyumsuzluk varsa düzeltin.
- Güvenlik ayarlarınızı güncel tutun ve potansiyel tehditlere karşı sisteminizi koruyun.
Bu önlemler, güvenliğinizi artıracak ve olası saldırılara karşı korunmanıza yardımcı olacaktır.
