Siber Güvenlik

Araştırmacılar, Windows EPM saldırısı ile alan yetkisi artışını açıkladı.

teknomers
teknomers

Microsoft Windows RPC Protokolünde Keşfedilen Güvenlik Açığı

Kısa süre önce, Microsoft’un Windows’un Remote Procedure Call (RPC) iletişim protokolünde bir güvenlik açığı keşfedildi. Bu açık, kötü niyetli bir saldırganın tanınmış bir sunucuyu taklit etmesine ve spoofing saldırıları gerçekleştirmesine olanak tanıyor. CVE-2025-49760 olarak takip edilen bu açıklığın önemi, kullanıcıların veri güvenliğini tehlikeye atmasıdır. Güvenlik açığı, Temmuz 2025’te düzeltildi, ancak bu tür açıkların önemi ve etkisi hala tartışmelidir.

Contents

Açığın Detayları ve Etkileri

Güvenlik açığı, Windows Depolama spoofing hatası olarak tanımlandı. Bu durum, yetkilendirilmiş bir saldırganın bir ağ üzerinden spoofing yapmasına olanak sağlıyor. Güvenlik açığı ile ilgili detaylar, SafeBreach araştırmacısı Ron Ben Yizhak tarafından DEF CON 33 güvenlik konferansında paylaşıldı. Açık sayesinde, saldırganlar dosya adları veya yolları üzerinde dışsal bir kontrol elde edebiliyor, bu da sistemdeki güvenlik önlemlerinin aşılmasına imkan tanıyor.

EPM (Endpoint Mapper) ve Güvenlik Açığı

Windows RPC protokolü, evrensel benzersiz tanımlayıcılar (UUID) ve bir Endpoint Mapper (EPM) kullanarak dinamik uç noktaların kullanılmasına olanak tanır. Bu yapı, bir RPC istemcisini, bir sunucu tarafından kaydedilen bir uç noktaya bağlamak için kullanılır. Ancak, güvenlik açığı, EPM’nin temel bileşenlerini manipüle etmeye yarayan bir EPM poisoning saldırısı gerçekleştirmeyi mümkün kılıyor. Bu, yetkisiz kullanıcıların meşru bir hizmet olarak kendilerini sunmasına ve korunan süreçlerin, istedikleri bir sunucuya kimlik doğrulamasını zorlamasına yol açabiliyor.

EPM’nin işlevi, Domain Name System (DNS) ile benzerlik taşıyor. DNS, bir alan adını bir IP adresine çevirirken, EPM de bir arayüz UUID’sini bir uç noktaya eşleştirir. Dolayısıyla, saldırı, kullanıcıları kötü niyetli web sitelerine yönlendirerek onların verilerine erişim sağlamak için kullanılmaktadır.

Saldırı Senaryosu ve Metodolojisi

Saldırının gerçekleştirilmesi, sistemde bulunan ve uç noktaya eşlenmemiş arayüzlerin bulunmasına dayanıyor. Windows Defender gibi kritik hizmetlerin eşleştirilmesi, saldırganların bu hizmetleri taklit etmelerine olanak sağlıyor. EPM’nin herhangi bir güvenlik kontrolü uygulamaması, bu açığı daha da tehlikeli hale getiriyor.

Öne çıkan saldırı adımları şunlardır:

  1. Planlı bir görev oluşturmak: Mevcut kullanıcının oturum açmasıyla çalıştırılacak bir görev.
  2. Depolama Hizmeti arayüzünü kaydetmek: Saldırgan, Depolama Hizmeti’nin arayüzünü kaydediyor.
  3. Delivery Optimization hizmetini tetiklemek: Bu hizmet, RPC isteği göndererek saldırganın dinamik uç noktasına bağlanıyor.
  4. GetStorageDeviceInfo() yöntemini çağırmak: Bu adım, Delivery Optimization hizmetinin sahte sunucuyla iletişim kurmasını sağlıyor.
  5. NTLM hash sızıntısı: Bu aşamada, Delivery Optimization hizmeti kötü niyetli bir SMB sunucusu ile kimlik doğrulaması yaparak NTLM bilgilerini sızdırıyor.

Bu aşamalar, saldırganın kontrolünü daha da güçlendiriyor ve son derece tehlikeli bir senaryoya yol açıyor.

Yeni Geliştirilen Araçlar ve Önlemler

SafeBreach, güvenlik açıklarını tespit etmek için RPC-Racer adlı bir araç geliştirdi. Bu araç, güvensiz RPC hizmetlerini işaretleyebilir ve korunan süreçleri manipüle edebilir. Protected Process Light (PPL) teknolojisi, yalnızca güvenilir hizmetlerin yüklenmesini ve devam eden süreçlerin kötü niyetli kodlardan korunmasını sağlamak için geliştirilmiştir.

Saldırının tespit edilmesi için güvenlik ürünleri, RpcEpRegister çağrılarını izleyebilir. Event Tracing for Windows (ETW), kullanıcı modundaki uygulamalardan ve çekirdek modu sürücülerinden gelen olayları kaydeden bir güvenlik özelliğidir. Bu tür saldırılara karşı önlem almak, sistem güvenliğini büyük ölçüde artırabilir.

Gelecekteki Riskler ve Güvenlik İyileştirmeleri

EPM poisoning tekniği, Adversary-in-the-Middle (AitM) ve Denial-of-Service (DoS) saldırıları gibi daha karmaşık saldırılara olanak tanıyor. Güvenlik uzmanları, RPC sunucularının kimliğinin doğrulanmasının önemini vurgulamaktadır. Ben Yizhak, “Mevcut EPM tasarımı bu doğrulamayı gerçekleştirmiyor. Bilinmeyen kaynaklardan gelen verileri kayıtsız bir şekilde kabul etmek, saldırganın istemcinin eylemlerini kontrol etmesine ve manipüle etmesine imkan tanıyor,” demektedir.

Gelecekte, bu tür güvenlik açıklarının daha hızlı tespit edilmesi ve kapatılması, kullanıcıların veri güvenliğinin korunması açısından hayati önem taşıyacaktır.

Güncel Siber Güvenlik Haberleri – 1

Araştırmacılar, çok büyük bir ilk yıldızdan çift dengesizlik süpernova için kimyasal kanıt keşfettiler
Hindistan, Sert Cezalar ve Siber Güvenlik Gereklilikleri içeren Dijital Veri Kuralları Önerdi
Yeni Golang Tabanlı Kötü Amaçlı Yazılım, Kaba Kuvvet Saldırıları Yoluyla Web Sunucularını İhlal Ediyor
OSRS Leagues 6 ile MMORPG İlerlemesi Şekil Değiştiriyor
Rus Hackerlar Gamaredon ve Turla, Ukrayna’ya Kazuar arka kapısını yaydı.
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Siri’nin beklenen özellikleri, düşündüğünden daha erken iPhone’a geliyor.
Sonraki Makale Guntouchables, ücretsiz hediye ile 2 milyon oyuncuya ulaştı.

Sanal Medya

Son Eklenenler

Mastodon, Açık Sosyal Ağı Canlandırmak İçin Bültenlere Yöneliyor
Genel
GTA VI Öncesi Ücretsiz GTA V Yükseltmeleri Geldi
Liste
Sosyal Medyanın Geleceği: Kullanıcı Kontrollü Algoritmalar
Yapay Zeka
ViewSonic VX2738-2K 27 inç OLED İncelemesi: OLED Fiyat Performansı
Donanım
Slayblade ile Y2K Nostaljisi: Yeni Bir Savaş Deneyimi Seni Bekliyor
Oyun
Facebook’u Bekleyen Chi-Hua Chien Gerçek AI Kazananlarını Açıklıyor
Genel