Siber güvenlik uzmanı Ebubekir Bastama: 'RD Gateway açığı saldırganlara tam erişim izni verebilir'

Microsoft’un RD Gateway bileşeninde kritik açık
Microsoft’un uzak masaüstü erişim servisi olan Remote Desktop Gateway (RD Gateway), yeni keşfedilen CVE-2025-21297 kodlu güvenlik açığı nedeniyle ciddi bir tehdit altında. Güvenlik araştırmacıları tarafından tespit edilen bu açıklık, saldırganların sunucu başlatma sürecinde yaşanan bir yarış durumu (race condition) üzerinden sistem belleğini bozarak kötü amaçlı kod çalıştırmasına imkân veriyor.

Teknik detaylar ve saldırı vektörü
Söz konusu açık, aaedge.dll bileşeninde yer alan CTsgMsgServer::GetCTsgMsgServerInstance fonksiyonunda tespit edilen bir use-after-free (UAF) hatasından kaynaklanıyor. RD Gateway başlatılırken birden fazla iş parçacığının (thread) eşzamanlı olarak bu fonksiyona erişmesi, senkronizasyon eksikliği nedeniyle m_pMsgSvrInstance işaretçisinin hatalı biçimde yeniden yazılmasına yol açıyor. Bu durum bellek bozulmasına neden olurken, saldırganların bu süreci manipüle ederek uzaktan kod çalıştırmasını mümkün kılıyor.

Ebubekir Bastama: 'Sunucu kontrolü saldırganın eline geçebilir'
Siber güvenlik araştırmacısı Ebubekir Bastama, söz konusu güvenlik açığının ciddiyetine dikkat çekerek şu ifadeleri kullandı:
'Bu tür zafiyetlere hızlı müdahale edilmezse, özellikle büyük sistemlerde yıkıcı etkileri olabilir. CVE-2025-21297 gibi bir açık, istismar edildiğinde saldırgana RD Gateway sunucusu üzerinde tam yetki kazandırabilir. Kurumsal sistemler için ciddi bir tehlike söz konusu.

Riskin boyutu ve etkilenen sistemler
Güvenlik açığı, CVSS puanı 8.1 ile 'yüksek' risk kategorisine alınmış durumda. Açığın istismarı, 9 adımlı heap çarpışmaları içeren karmaşık bir süreci gerektirse de, saldırının başarıya ulaşması durumunda RD Gateway sunucularının tüm kontrolü ele geçirilebiliyor. Açık, aşağıdaki Windows Server sürümlerini etkiliyor:

• Windows Server 2016

• Windows Server 2019

• Windows Server 2022

• Windows Server 2025
  (Core ve Standard yapıları dahil)

Kurumsal ağlar tehdit altında
RD Gateway, kurumsal ağlara güvenli uzak erişim sağlamak amacıyla kullanıldığından, bu zafiyet kritik öneme sahip. Açığın kötüye kullanılması durumunda, kurum ağına yetkisiz erişim sağlanabilir ve veri sızıntısı ya da sistem çökmesi gibi ciddi güvenlik ihlalleri yaşanabilir.

Microsoft’tan güvenlik güncellemeleri
Microsoft, söz konusu güvenlik açığını gidermek üzere Mayıs 2025 itibarıyla çeşitli güvenlik güncellemeleri yayınladı. Etkilenen sistemler için ilgili yama kodları şöyle:

• Windows Server 2016 → KB5050011

• Windows Server 2019 → KB5050008

• Windows Server 2022 → KB5049983

• Windows Server 2025 → KB5050009

Kurumlara acil eylem çağrısı
Uzmanlar, kullanıcıların acilen ilgili yamaları uygulamasını ve RD Gateway sistemlerini sadece güvenilir IP adreslerine erişime açmasını tavsiye ediyor. Ayrıca, RD Gateway loglarının olağandışı aktiviteler açısından düzenli olarak gözden geçirilmesi gerektiği belirtiliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI