Microsoft, Aralık 2025 güvenlik güncelleştirmelerinin, Mesaj Kuyruklama (MSMQ) işlevselliğini bozarak kurumsal uygulamaları ve Internet Bilgi Hizmetleri (IIS) web sitelerini etkilediğini doğruladı.
Bu bilinen sorun, bu ayın Salı Yaması sırasında yayımlanan KB5071546, KB5071544 ve KB5071543 güvenlik güncelleştirmelerini yükleyen Windows 10 22H2, Windows Server 2019 ve Windows Server 2016 sistemlerini etkilemektedir.
Etkilenen sistemlerde kullanıcılar, etkin olmayan MSMQ kuyruklarından ve “yetersiz kaynak” hatalarıyla başarısız olan IIS sitelerinden, kuyruklara yazamayan uygulamalara kadar çok çeşitli belirtilerle karşılaşıyor. Bazı sistemler, yeterli kaynaktan daha fazlasına sahip olmalarına rağmen yanıltıcı “Yetersiz disk alanı veya bellek var” mesajını görüntülüyor.
Microsoft’a göre sorun, MSMQ hizmetine getirilen ve kritik bir sistem klasöründeki izinleri değiştiren, MSMQ kullanıcılarının genellikle yöneticilerle sınırlı olan bir dizine yazma erişimine sahip olmasını gerektiren güvenlik modeli değişikliklerinden kaynaklanıyor.
Bu, bilinen sorunun, kullanıcıların kendilerine tam yönetici ayrıcalıkları veren bir hesapla oturum açtığı cihazları etkilemeyeceği anlamına gelir.
Microsoft, “Bu sorun, MSMQ güvenlik modelinde ve C:\Windows\System32\MSMQ\storage klasöründeki NTFS izinlerinde yapılan son değişikliklerden kaynaklanıyor. MSMQ kullanıcılarının artık normalde yöneticilerle sınırlı olan bu klasöre yazma erişimine ihtiyacı var” dedi.
“Sonuç olarak, MSMQ API’leri aracılığıyla mesaj gönderme girişimleri kaynak hatalarıyla başarısız olabilir. Bu sorun aynı zamanda yük altındaki kümelenmiş MSMQ ortamlarını da etkiler.”
MSMQ hizmeti tüm Windows işletim sistemlerinde isteğe bağlı bir bileşen olarak mevcuttur. Uygulamalara ağ iletişim yetenekleri sağlar ve kurumsal ortamlarda yaygın olarak kullanılır.
Microsoft sorunu araştırıyor ancak düzeltme için bir zaman çizelgesi sağlamadı veya bir sonraki planlanmış sürümü bekleyip beklemeyeceğini veya bir acil durum güncelleştirmesi yayınlayıp yayınlamayacağını onaylamadı. Şimdilik bu sorunla karşılaşan yöneticilerin güncellemeleri geri almayı düşünmesi gerekebilir ancak bu durum kendi güvenlik endişelerini de beraberinde getiriyor.
Nisan 2023’te Microsoft, BT yöneticilerini MSMQ hizmetinde yüzlerce sistemi uzaktan kod yürütme saldırılarına maruz bırakan kritik bir güvenlik açığını (CVE-2023-21554) düzeltmeleri konusunda da uyardı.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.