Microsoft, ayrıcalık sorununun yükselmesi olarak sınıflandırılan Azure AI yüz hizmetini etkileyen, saldırganların kimlik doğrulama mekanizmalarını bir ağ üzerinden artırmak için atlamasına izin veren Azure AI yüz hizmetini etkileyen kritik bir güvenlik açığı, CVE-2025-21415 açıkladı.
Ancak Microsoft, güvenlik açığının tamamen hafifletildiğini ve müşteri işlemi gerektirmediğini doğruladı. Bu açıklama, Microsoft’un bulut hizmetlerindeki potansiyel güvenlik tehditlerini yönetme ve ele alma konusundaki şeffaflığın devam eden taahhüdünün altını çizmektedir.
Teknik Ayrıntılar: CVE-2025-21415
Belirlenen kusur, saldırganların bir sistemi sahte bir kimliği kabul etmeye ve potansiyel olarak kimlik doğrulama protokollerini atlayarak kandırabilecekleri bir zayıflık olan CWE-290, kimlik doğrulama baypasıyla bağlıdır.
Bu güvenlik açığı, saldırganların ayrıcalıkları yükseltmesine izin vererek sistemlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye attı.
Bu güvenlik açığı, ciddi etkisini yansıtan 9.9 kritik bir CVSS 3.1 taban skoru verilmiştir. Minimum ayrıcalıklar ve kullanıcı etkileşimi gerektirmeyen düşük saldırı karmaşıklığına sahip ağ tabanlı bir saldırı vektörüne sahiptir.
Ayrıca, kapsam değişir, yani istismar başlangıç bağlamının ötesine uzanabilir. Gizlilik, dürüstlük ve kullanılabilirlik üzerindeki potansiyel etki yüksektir ve veri ve hizmetler için önemli bir risk altına alınır.
Microsoft’un değerlendirmesi, sömürü kolaylığını ve sahip olabileceği önemli sonuçları vurgulayarak bu ciddiyetle uyumludur.
29 Ocak 2025’teki açıklaması itibariyle, vahşi doğada kullanılmayan güvenlik açığının kamuoyu açıklaması veya kanıtı bulunmamıştır.
İstismar olgunluğu kavram kanıtı aşamasında kalır, yani araştırmacılar veya iç ekipler fizibilitesini gösterse de, saldırganların aktif olarak silahlandırdığına dair bir gösterge yoktur.
Güvenlik açığının ciddiyetine rağmen, Microsoft gerçek dünya saldırılarında kötü bir şekilde kullanılmadığını doğruladı.
Etki ve azaltma
Güvenlik açığı, yüz tanıma görevleri için kullanılan özel bir bulut aracı olan Azure AI Face hizmetini etkiledi. Bu güvenlik açığından yararlanmak, bir saldırganın meşru kullanıcıları taklit etmesine veya hassas verilere erişmek veya manipüle etmek için ayrıcalıklarını artırmasına izin verebilir.
Ancak Microsoft, sorunu altyapısında azaltmak için harekete geçti ve daha fazla risk kalmadı.
Önemli olarak, güvenlik açığı Microsoft’un sonunda tam olarak çözüldüğünden, müşteri eylemi gerekmez. Microsoft, müşteri şeffaflığını ve farkındalığını artırmak için bu CVE’yi yayınladı.
Microsoft, bu güvenlik açığını doğrudan yönetilen bulut altyapısında azalttı. Azure AI kullanan müşteriler, bu tür güvenlik açıklarını manuel müdahale olmadan ele alan otomatik güvenlik güncellemelerinden yararlanır.
Bu özel güvenlik açığı için herhangi bir işlem gerekmese de, kullanıcıların bulut hizmetlerini güvence altına almak için en iyi uygulamaları izlemeye devam etmeleri teşvik edilir:
- Çok faktörlü kimlik doğrulamayı etkinleştir (MFA): Kullanıcı hesabı güvenliğini güçlendirin ve yetkisiz erişimi azaltın.
- Sıfır güven ilkelerini benimseyin: Çevrenizdeki erişim talepleri için sıkı bir doğrulama sağlayın.
- Kaynak kullanımını izleyin: Olağandışı etkinlik için günlükleri, ağ davranışlarını ve Azure Monitor uyarılarını düzenli olarak gözden geçirin.
- Bilgilendirilmiş kalın: Potansiyel tehditlerin proaktif farkındalığı için Microsoft güvenlik danışmanlarına ve güncellemelerine abone olun.
CVE-2025-21415, bulutta proaktif tehdit azaltmanın başarılı bir örneğini temsil eder. Microsoft’un güvenlik açığını bozarak bu kimlik doğrulama baypasıyla ilgili hızlı işlenmesi, şirketin sağlam güvenlik uygulamalarını ve müşteri şeffaflığına olan bağlılığını gösterir.
Güvenlik açığı tamamen azaltılmış olsa da, bunun gibi açıklamalar, işletmelerin güvenlik duruşlarında uyanık kalmaları ve Microsoft’un güvenli tasarım bulut çözümlerinden yararlanmaları için önemli bir hatırlatma görevi görür.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free