Windows Server Update Services (WSUS) güvenlik açığından aktif olarak yararlanılıyor. Suçlular bu güvenlik açığını çeşitli sektörlerdeki kuruluşlardan hassas verileri çalmak için kullanıyor.
CVE-2025-59287 olarak takip edilen güvenlik açığı, 14 Ekim 2025’te Microsoft tarafından yamalandı ancak saldırganlar, kavram kanıtı kodunun GitHub’da halka açık hale gelmesinin ardından hızla bu güvenlik açığını kötüye kullanmaya başladı.
Sophos telemetrisi, istismarın 24 Ekim 2025’te, teknik analiz ve yararlanma kodunun çevrimiçi olarak yayınlanmasından yalnızca birkaç saat sonra başladığını gösteriyor.
Tehdit aktörleri, başta ABD olmak üzere üniversiteler, teknoloji şirketleri, üretim firmaları ve sağlık kuruluşlarındaki internete bakan WSUS sunucularını hedef aldı.
Sophos şu ana kadar altı olayı doğrulamış olsa da güvenlik uzmanları, ele geçirilen kuruluşların gerçek sayısının çok daha fazla olduğuna inanıyor.
Saldırılar Nasıl Ortaya Çıkıyor?
Bu istismar, WSUS’ta kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veren kritik bir seri durumdan çıkarma hatasından yararlanıyor. Saldırganlar güvenlik açığı bulunan sunucuları hedef aldığında, IIS çalışan ayrıcalıkları altında çalışan iç içe geçmiş komut süreçleri aracılığıyla Base64 kodlu PowerShell komutlarını enjekte ederler.
Kötü amaçlı komut dosyası, ele geçirilen sistemlerde sessizce yürütülerek hedeflenen kuruluşlar hakkında değerli bilgiler toplar.
Toplanan veriler, savunmasız ana bilgisayarların harici IP adreslerini ve bağlantı noktalarını, Active Directory etki alanı kullanıcılarının numaralandırılmış listelerini ve ayrıntılı ağ arayüzü yapılandırmalarını içerir. Bu bilgiler daha sonra saldırganlar tarafından kontrol edilen webhook.site URL’lerine sızdırılır.
Sophos araştırmacıları, saldırılarla ilişkili dört benzersiz webhook.site URL’si keşfetti; bunların üçü platformun ücretsiz hizmet katmanıyla bağlantılıydı.
Herkese açık iki URL’deki istek günlüklerini analiz eden araştırmacılar, istismarın 24 Ekim 02:53 UTC’de başladığını ve aynı gün 11:32 UTC’ye kadar maksimum 100 istek eşiğine ulaştığını gözlemledi.
Bu güvenlik açığından hızla yararlanılması, tehdit aktörlerinin yeni ortaya çıkan kusurları silah haline getirmek için ne kadar hızlı harekete geçtiğini gösteriyor.
Saldırıların gelişigüzel doğası, siber suçluların internetteki açığa çıkan WSUS sunucularını taradıklarını ve belirli kuruluşları hedeflemek yerine bunları fırsatçı bir şekilde kullandıklarını gösteriyor.
Sophos Tehdit İstihbaratı Direktörü Rafe Pilling’e göre, “Bu etkinlik, tehdit aktörlerinin, savunmasız kuruluşlardan değerli veriler toplamak için WSUS’taki bu kritik güvenlik açığından yararlanmak üzere hızla harekete geçtiğini gösteriyor.”
Çalınan veriler keşif, takip saldırıları için kullanılabilir veya yeraltı pazarlarındaki diğer kötü niyetli aktörlere satılabilir. WSUS hizmetlerini çalıştıran kuruluşlar, Microsoft’un güvenlik yamalarını derhal uygulamalı ve ağ yapılandırmalarını kapsamlı bir şekilde gözden geçirmelidir.
Ek olarak şirketler, internete açık tüm WSUS sunucu arayüzlerini tanımlamalı ve WSUS bağlantı noktaları 8530 ve 8531’e erişimi yalnızca gerçekten bağlantı gerektiren sistemlerle kısıtlamalıdır.
Güvenlik ekipleri, kötüye kullanım belirtileri açısından günlükleri incelemeli ve güvenlik açıklarının tespit edilmesi durumunda yanal hareketi önlemek için ağ bölümlendirmesini uygulamalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
