Kritična ranjivost u Microsoftovom Remote Desktop Gatewayu (RD Gateway) koja bi mogla omogućiti napadačima da daljinski izvršavaju zlonamjerni kod na pogođenim sistemima.
Ranjivost, označena kao CVE-2025-21297 , otkrio je Microsoft u svojim sigurnosnim ažuriranjima iz januara 2025. godine i od tada se aktivno iskorištava.
Greška, koju je otkrio i prijavio VictorV (Tang Tianwen) iz Kunlun Laba, proizilazi iz greške “use-after-free” (UAF) koju pokreću istovremene veze socketa tokom inicijalizacije usluge Remote Desktop Gateway.
Konkretno, ranjivost postoji u biblioteci aaedge.dll, unutar funkcije CTsgMsgServer::GetCTsgMsgServerInstance, gdje se globalni pokazivač (m_pMsgSvrInstance) inicijalizira bez odgovarajuće sinhronizacije niti.
„Ranjivost se javlja kada više niti može prepisati isti globalni pokazivač, oštećujući broj referenci i na kraju dovodeći do dereferenciranja visećeg pokazivača – klasičnog scenarija UAF-a“, objašnjava se u sigurnosnom savjetu .
Uslov utrke omogućava napadačima da iskoriste problem s vremenom gdje alokacija memorije i dodjeljivanje pokazivača nisu sinhronizovani, što potencijalno dovodi do proizvoljnog izvršavanja koda. Microsoft je ranjivosti dodijelio CVSS ocjenu 8,1, što ukazuje na visoku ozbiljnost.
Ranjivost UAF-a za Windows Remote Desktop Gateway
Prema istraživačima, uspješna eksploatacija zahtijeva od napadača da:
- Povežite se sa sistemom koji izvršava ulogu RD Gateway-a .
- Pokreni istovremene veze sa RD Gateway-om (putem više socketa).
- Iskoristite problem s vremenom gdje alokacija memorije i dodjeljivanje pokazivača nisu sinhronizovani.
- Uzrokujte da jedna veza prepiše pokazivač prije nego što druga završi s referenciranjem na njega.
Eksploatacija uključuje devetostepenu vremensku liniju kolizija heap-a između niti, što na kraju dovodi do korišćenja oslobođenog memorijskog bloka, otvarajući vrata za izvršavanje proizvoljnog koda.
Više verzija Windows Servera koje koriste RD Gateway za siguran udaljeni pristup su ranjive, uključujući:
- Windows Server 2016 (Core i Standard instalacije).
- Windows Server 2019 (Core i Standard instalacije).
- Windows Server 2022 (Core i Standard instalacije).
- Windows Server 2025 (Core i Standard instalacije).
Organizacije koje koriste RD Gateway kao kritičnu pristupnu tačku za zaposlene, izvođače radova ili partnere koji rade na daljinu su posebno izložene riziku.
Microsoft je riješio ranjivost u maju 2025. godine uvođenjem sinhronizacije zasnovane na mutex-u, osiguravajući da samo jedna nit može inicijalizirati globalnu instancu u bilo kojem trenutku. Dostupna su sljedeća sigurnosna ažuriranja:
- Windows Server 2016: Ažuriranje KB5050011.
- Windows Server 2019: Ažuriranje KB5050008 (verzija 10.0.17763.6775).
- Windows Server 2022: Ažuriranje KB5049983 (verzija 10.0.20348.3091).
- Windows Server 2025: Ažuriranje KB5050009 (verzija 10.0.26100.2894).
Izvor: CyberSecurityNews