Microsoft, yaklaşık iki yıldır aktif olarak sömürülen kritik bir Windows çekirdeği güvenlik açığını yamaladı.
CVE-2025-24983 olarak izlenen güvenlik açığı, şirketin Mart ayında Salı günü yayınlanmasına dahil edildi.
Güvenlik açığını keşfeden ve bildiren siber güvenlik firması ESET’e göre, saldırganlar Mart 2023’ten bu yana vahşi doğada bu kusurdan yararlanıyor ve bu da iyileştirmeden önce en uzun süredir devam eden aktif istismarlardan biri haline getiriyor.
Windows Çekirdek Güvenlik Açığı
Güvenlik açığı, Windows Win32 çekirdek alt sisteminde mevcuttur ve düşük ayrıcalıkları olan saldırganların kullanıcı etkileşimi gerektirmeden sistem ayrıcalıklarına yükselmesine izin veren bir kullanımsız (UAF) zayıflık olarak sınıflandırılmıştır.
Önemli etkisine rağmen, Microsoft, saldırganların bir yarış koşulu kazanmasını gerektiren yüksek sömürü karmaşıklığı nedeniyle “kritik” yerine güvenlik açığını “önemli” olarak derecelendirmiştir.
ESET, teknik analizlerinde “Güvenlik açığı Win32k sürücüsünde kullanılmayan bir kullanımdır” diye açıkladı.
“WaitForInputIdle API kullanılarak elde edilen belirli bir senaryoda, W32 işlem yapısı olması gerekenden bir kez daha sertleşir ve UAF’ye neden olur. Güvenlik açığına ulaşmak için bir yarış koşulu kazanılmalıdır. ”
İstismarı keşfeden ESET araştırmacısı Filip Jurčacko, Pipemagic olarak bilinen sofistike bir arka kapı aracılığıyla teslim edildiğini buldu.
İlk olarak 2022’de tanımlanan bu arka kapı, hassas verileri püskürtebilen ve saldırganlara uzlaşmış cihazlara tam uzaktan erişim sağlayabilen eklenti tabanlı bir Truva atıdır.
Kötü amaçlı yazılım “\. \ Boru \ 1 formatında adlandırılmış bir boru oluşturur.
Özellikle, istismar öncelikle Microsoft’un artık desteklemediği Windows Server 2012 R2 ve Windows 8.1 dahil olmak üzere eski Windows sürümlerini hedefledi.
Bununla birlikte, güvenlik açığı, Windows Server 2016 ve Windows 10 Systems Build 1809 ve daha önceki dahil olmak üzere daha yeni ama yine de eski Windows sürümlerini de etkiler.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | 32 bit SystemsWindows için Windows 10 x64 tabanlı SystemSwindows 10 için 10 sürüm 1607 32 bit SystemSwindows 10 sürüm 1607 x64 tabanlı SystemSwindows Server 2008 için 32 bit Sistem Sistem Hizmet Paketi 2 2008 (Sunucu Çekirdeği Sistem Hizmet Paketi 2 için 2008 (Sunucu Çekirdek Yükleme) Server 28 (Sunucu Çekirdek Kurulum) Server 2 2008 (Sunucu Kore Kurulumu) Windows Server 2 2008 için Windows Server 2 için Windows Server 2 2008 için Windows Server 2 için Windows Server 2 2008 için X64 Server Sistem Sistemleri için Server 2 2008 (X64 Server 2 için Windows Server 2 için Windows Server 2 için Windows Server 2 2008 X64 Tabanlı Sistem Hizmet Paketi 1Windows Server 2008 R2 X64 Tabanlı Sistemler Servis Paket 1 (Sunucu Çekirdek Yükleme) Windows Server 2012Windows Server 2012 (Sunucu Çekirdek Yükleme) Windows Server 2012 R2Windows Server 2012 R2 (Sunucu Çekirdek Yükleme) Windows Server 2016Windows Server 2016 (Sunucu Çekirdek Yükleme) |
| Darbe | Ayrıcalık yüksekliği, tam sistem kontrolü, en yüksek ayrıcalıklarla keyfi kodun yürütülmesi |
| Önkoşuldan istismar | Yerel kimlik doğrulama saldırganı, bir yarış koşulu kazanmalı, özel hazırlanmış bir program çalıştırmalı, kullanıcı etkileşimi gerekmez |
| CVSS 3.1 puanı | 7.0 (önemli) |
Salı günü Mart 2025 yaması, toplam 57 güvenlik açığı için düzeltmeler içeriyordu ve altısı vahşi doğada aktif olarak sömürüldü. Bunlar arasında CVE-2025-24983, uzun süreli sömürü süresi nedeniyle öne çıkıyor.
Bu sürümde yamalanan diğer önemli güvenlik açıkları arasında CVE-2025-26633 (Microsoft yönetim konsolunda bir güvenlik özelliği bypass), CVE-2025-24985 (Windows Fat Fat Dosya Sistemi Sürücüsü’nde uzaktan kod yürütme kusuru) ve CVE-2025-24993 (Windows NTFS’de uzaktan kod yürütme güvenlik açığı) vardı.
Etkilenen Windows sürümlerini kullanan kuruluşların güvenlik güncellemelerini derhal uygulamaya karar verilir.
Bu olay, çekirdek düzeyinde güvenlik açıklarının yarattığı sürekli tehdidi ve yaşam sonuna yaklaşan sistemler için bile zamanında güvenlik güncellemelerinin önemini vurgulamaktadır.
Güvenlik araştırmacıları, CVE-2025-24983 gibi ayrıcalık artış güvenlik açıklarının, tehlikeye atılan ağlarda kalıcılık oluşturmak isteyen saldırganlar için değerli araçlar olarak kaldığını vurgulamaya devam ediyor.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.