Kritična sigurnosna ranjivost u klijentu za udaljenu radnu površinu Microsofta mogla bi omogućiti napadačima izvršavanje proizvoljnog koda na sistemima žrtava.
Ova ranjivost, označena kao CVE-2025-48817, pogađa više verzija Windowsa i predstavlja značajne sigurnosne rizike za organizacije koje se oslanjaju na veze putem protokola udaljene radne površine (RDP).
Ključne informacije:
1. CVE-2025-48817 omogućava izvršavanje udaljenog koda putem klijenta za udaljenu radnu površinu Microsofta (CVSS 8.8).
2. Zlonamjerni RDP serveri izvršavaju kod na klijentima koji se povezuju, iskorištavajući ranjivost prolaska kroz direktorijume.
3. Pogođene su sve verzije Windowsa od Servera 2008 do Windowsa 11 24H2.
4. Microsoft je objavio zakrpe 8. jula 2025. – odmah primijenite sigurnosna ažuriranja.
Ranjivost klijenta za udaljenu radnu površinu Microsofta
CVE-2025-48817 predstavlja ranjivost prolaska kroz relativni direktorijum u kombinaciji s nepravilnim mehanizmima kontrole pristupa unutar infrastrukture Microsoftovog klijenta za udaljenu radnu površinu.
Ranjivosti je dodijeljen CVSS rezultat od 8.8 za osnovne metrike i 7.7 za vremenske metrike, što je klasifikuje kao “važnu” po ozbiljnosti.
Tehnička klasifikacija identifikuje dvije primarne kategorije slabosti: CWE-23 (Prolazak kroz relativni direktorijum) i CWE-284 (Nepravilna kontrola pristupa).
CVSS vektorski niz CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C ukazuje na to da je riječ o mrežnom vektoru napada s niskim zahtjevima složenosti.
Ključno je da ranjivost ne zahtijeva nikakve privilegije za iskorištavanje, ali zahtijeva interakciju korisnika. Nakon uspješnog iskorištavanja, napadači mogu postići visok uticaj na domenima povjerljivosti, integriteta i dostupnosti.
Mehanizam iskorištavanja oslanja se na scenarij napada “čovjek u sredini” gdje zlonamjerni akteri kontrolišu RDP server.
Kada žrtve pristupe kompromitovanom serveru koristeći ranjiv softver klijenta za udaljenu radnu površinu, greška prolaska kroz direktorijum omogućava izvršavanje udaljenog koda (RCE) na klijent mašini.
Ovaj vektor napada je posebno zabrinjavajući jer obrće uobičajeni sigurnosni model klijent-server, gdje klijenti generalno vjeruju serverima.
Ranjivost zahtijeva administrativnog korisnika na klijent sistemu da inicira vezu sa zlonamjernim serverom.
Nakon uspostavljanja veze, greška prolaska kroz direktorijum omogućava napadačima da izađu iz željenih ograničenja direktorijuma i izvršavaju proizvoljni kod s povišenim privilegijama.
Faktori rizika | Detalji
—|—
Pogođeni proizvodi | – Windows Server 2008/2008 R2/2012/2012 R2- Windows Server 2016/2019/2022/2025- Windows 10 (sve verzije od 1607 do 22H2)- Windows 11 (22H2, 23H2, 24H2)- Klijent za udaljenu radnu površinu za Windows Desktop- Windows App Client za Windows Desktop
Uticaj | Izvršavanje udaljenog koda (RCE)
Preduvjeti za iskorištavanje | – Administrativni korisnik na klijent sistemu- Potrebna interakcija korisnika- Veza sa zlonamjernim RDP serverom- Mrežni pristup- Nisu potrebne privilegije na strani servera
CVSS 3.1 rezultat | 8.8 (Važno)
Pogođeni sistemi i sigurnosna ažuriranja
Microsoft je objavio sveobuhvatna sigurnosna ažuriranja koja rješavaju CVE-2025-48817 u cijelom svom Windows ekosistemu.
Pogođene platforme obuhvataju naslijeđene sisteme, uključujući Windows Server 2008 i Windows 7, do trenutnih verzija kao što su Windows 11 24H2 i Windows Server 2022.
Specifični brojevi izdanja za zakrpljene verzije uključuju 10.0.26100.4652 za Windows 11 24H2 i 10.0.22631.5624 za Windows 11 23H2.
Klijent za udaljenu radnu površinu za Windows Desktop ažuriran je na verziju 1.2.6353.0, dok Windows App Client dostiže verziju 2.0.559.0.
Organizacije bi trebale dati prioritet primjeni sigurnosnih ažuriranja KB5062553 i KB5062552, kao i srodnih zakrpa koje odgovaraju njihovim specifičnim verzijama Windowsa.
Microsoft je potvrdio da se ranjivost trenutno ne iskorištava u divljini, te da nije došlo do javnog objavljivanja, što organizacijama pruža ključni prozor za otklanjanje problema prije potencijalnih pokušaja masovnog iskorištavanja.