Bilgisayar korsanları, Microsoft’un Windows Server Güncelleme Hizmetlerindeki (WSUS) kritik bir kusurdan aktif olarak yararlanıyor ve güvenlik araştırmacıları, yaygın saldırı girişimlerini bildiriyor.
CVE-2025-59287 olarak takip edilen güvenlik açığı, yama yapılmamış WSUS sunucularında uzaktan kod yürütülmesine olanak tanıyor ve potansiyel olarak saldırganlara kurumsal ağlar üzerinde tam kontrol sağlıyor.
27 Ekim 2025 itibarıyla, küresel tarama verilerini izleyen firmalar, 8530 ve 8531 bağlantı noktaları aracılığıyla taranan çevrimiçi olarak en az 2.800 açıkta kalan WSUS örneğini tespit etti; ancak hepsi savunmasız olmayabilir.
Sorun, ilk olarak bu ayın başlarında açıklanan WSUS’un güncelleme onay sürecindeki seri durumdan çıkarma hatasından kaynaklanıyor. Microsoft, CVSS 3.1 puanı 9,8 ile bunu kritik olarak derecelendirdi ve kimlik doğrulaması olmadan kullanım kolaylığının altını çizdi.
15 Ekim’de yama kılavuzunun yayınlanmasından kısa bir süre sonra yer altı forumlarında bir kavram kanıtlama (POC) istismarı ortaya çıktı ve hızlı saldırıları ateşledi.
Geçen hafta WSUS konuşlandırmalarının parmak izlerini almaya başlayan siber güvenlik firması ShadowPeak’in bir sözcüsü, “POC’nin düşmesinden bu yana istismar girişimlerinin arttığını görüyoruz” dedi.
25 Ekim’de yapılan taramalar, başta Kuzey Amerika ve Avrupa’da olmak üzere 2.800 örneği ortaya çıkardı ve bu da güvenlik açığının kurumsal ortamlara ulaştığının altını çizdi.
Sömürü Taktikleri ve Gerçek Dünya Etkisi
Saldırganlar, Windows filoları genelinde yama dağıtımlarını yöneten WSUS sunucularını hedef alarak kusuru yatay hareket teknikleriyle zincirlemek için POC’den yararlanıyor.
Bilgisayar korsanları bir kez ele geçirildikten sonra kötü amaçlı güncellemeler dağıtabilir, hassas verileri sızdırabilir veya kalıcı arka kapılar kurabilir.
İlk göstergeler arasında WSUS uç noktalarına yönelik anormal trafik ve olay görüntüleyici kimlikleri 10016 ve 20005’e kaydedilen olağandışı güncelleme onayları yer alıyor.
Dikkate değer bir olay, davetsiz misafirlerin dahili Active Directory’ye erişmek için güvenlik açığını kullandığı ve 23 Ekim’de kısa bir kesintiye yol açan orta ölçekli bir ABD finans firmasıyla ilgiliydi.
Microsoft, Ekim 2025 güvenlik bülteni aracılığıyla yamaların derhal uygulanmasını teşvik etse de, ShadowPeak’in telemetrisine göre, taranan örneklerin yalnızca %40’ının hafifletme işaretleri göstermesi nedeniyle benimsenme gecikiyor.
Bu gecikme, özellikle sunucuların HTTP/HTTPS bağlantı noktalarını internete sunduğu hibrit bulut kurulumlarında, otomatik güncellemeler için WSUS’ye güvenen kuruluşlar için riskleri artırıyor.
| CVE Kimliği | Etkilenen Ürün | CVSS 3.1 Puanı | Tanım | Darbe |
|---|---|---|---|---|
| CVE-2025-59287 | Microsoft WSUS (sürümler < 10.0.20348.2000) | 9.8 (Kritik) | Güncelleme işlemede seri durumdan çıkarma güvenlik açığı | Uzaktan kod yürütme; ağ uzlaşması |
Uzmanlar, eski altyapılarda genellikle gözden kaçırılan, izlenmeyen WSUS kurulumlarının, sızıntı sitelerinde POC’ye referans veren LockBit 3.0 gibi fidye yazılımı gruplarının ana hedefleri olduğu konusunda uyarıyor.
Azaltmalar
Microsoft, tehdide karşı koymak için en son toplu güncellemelerin uygulanmasını ve WSUS bağlantı noktası erişiminin güvenlik duvarları aracılığıyla, ideal olarak dahili VPN’lerle sınırlandırılmasını öneriyor.
Nessus gibi araçlar veya özel komut dosyaları parmak izini açığa çıkarabilirken, uç nokta tespit platformlarının seri durumdan çıkarma anormalliklerini işaretlemesi gerekir.
Siber güvenlik analisti Elena Vasquez, “Bu yalnızca bir yama sorunu değil; güncelleme sunucularının düzenli olarak denetlenmesi gerektiğini hatırlatan bir durum” dedi.
Kötüye kullanım geliştikçe açığa çıkan 2.800 örnek, BT ekipleri için bir saatin ilerlediğinin sinyalini veriyor. Görünürde taramaların sonu gelmeyecekken, yama uygulaması hızlanmazsa güvenlik açığı bir ihlal dalgasına yol açabilir.
Kuruluşlar, güncelleme ekosistemlerini bu yaygın tehlikeye karşı korumak için WSUS güçlendirmesine öncelik vermelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
