ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), dünya çapındaki kuruluşları, Microsoft’un Windows Server Update Services’taki (WSUS) kritik bir uzaktan kod yürütme (RCE) güvenlik açığından aktif olarak yararlanılması konusunda uyardı.
CVE-2025-59287 olarak takip edilen kusur, CVSS puanı 9,8 olup, kimliği doğrulanmamış saldırganların bir ağ üzerinden sistem düzeyindeki ayrıcalıklarla rastgele kod yürütmesine olanak tanıyarak potansiyel olarak tüm BT altyapısını tehlikeye atıyor.
WSUS’ta güvenilmeyen verilerin güvenli olmayan bir şekilde seri durumdan çıkarılmasından kaynaklanan bu güvenlik açığı, Microsoft’un Salı Ekim Yaması’nda kısmen giderildi ancak ilk düzeltmenin yetersiz olduğunun anlaşılmasının ardından 23 Ekim 2025’te acil bir bant dışı güncellemenin yayınlanmasını gerektirdi.
Tehdit hızla artıyor ve güvenlik firmaları 24 Ekim 2025 gibi erken bir tarihte gerçek dünya saldırılarını rapor ediyor. Hollandalı siber güvenlik şirketi Eye Security, o gün saat 06:55 UTC’de, ‘aaaa’ adlı özel bir istek başlığı aracılığıyla komutları yürüterek günlük kaydından kaçınmak için tasarlanmış Base64 kodlu bir .NET yükünü içeren istismar girişimlerini tespit etti.
HawkTrace’ten araştırmacı Batuhan Er tarafından yalnızca birkaç gün önce yayımlanan kavram kanıtlama (PoC) açıkları, kötü amaçlı etkinlikleri hızlandırarak saldırganların SYSTEM hesabı altında çalışan WSUS sunucularını hedef almasına olanak sağladı.
CISA’nın Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) Kataloğuna CVE-2025-59287’yi eklemesi, federal kurumların 14 Kasım 2025’e kadar yama yapmalarını zorunlu kılıyor; bu da kusurun yüksek düzeyde istismar edilebilirliği ve düşük karmaşıklığının altını çiziyor; hiçbir kullanıcı etkileşimi veya kimlik doğrulaması gerekmez.
Merkezi yama yönetimi için WSUS’ye güvenen kuruluşlar ciddi tehlikelerle karşı karşıyadır; çünkü başarılı bir ihlal, bilgisayar korsanlarının zehirli güncellemeleri bağlı cihazlara dağıtmasına neden olabilir.
Aşağıdakiler etkilenen sistemlerdir:
| Etkilenen Sürüm | Yama KB Numarası | Notlar |
|---|---|---|
| Windows Sunucusu 2012 | KB5070887 | Standart ve Sunucu Çekirdeği |
| Windows Sunucusu 2012 R2 | KB5070886 | Standart ve Sunucu Çekirdeği |
| Windows Sunucusu 2016 | KB5070882 | Standart ve Sunucu Çekirdeği |
| Windows Sunucusu 2019 | KB5070883 | Standart ve Sunucu Çekirdeği |
| Windows Sunucusu 2022 | KB5070884 | Standart ve Sunucu Çekirdeği |
| Windows Server 2022, 23H2 Sürümü | KB5070879 | Sunucu Çekirdeği kurulumu |
| Windows Sunucusu 2025 | KB5070881 | Standart ve Sunucu Çekirdeği |
Güvenlik açığı, şifrelenmiş AuthorizationCookie nesnelerinin şifresinin AES-128-CBC kullanılarak çözüldüğü ve tür doğrulaması olmadan BinaryFormatter aracılığıyla seri durumdan çıkarıldığı GetCookie() uç noktasındaki eski bir serileştirme mekanizmasından yararlanarak tam sistemin ele geçirilmesine kapı açıyor.
CODE WHITE GmbH’den Markus Wulftange’ın da aralarında bulunduğu güvenlik araştırmacıları ve bağımsız uzmanlar MEOW ve f7d8c52bec79e42795cf15888b85cbad, sorunu ilk olarak Microsoft’un tavsiye niteliğindeki çalışmalarına atıfta bulunarak belirlediler.
Microsoft, WSUS Sunucu Rolü etkin olmayan sunucuların etkilenmeden kaldığını doğruladı, ancak etkin olanlar, özellikle de 8530 veya 8531 numaralı bağlantı noktalarını internete açanlar için riskler ciddi.
İlk göstergeler, saldırganların kötü amaçlı yazılımları ortadan kaldırmak için PoC’den yararlandığını ve kurumsal ortamlarda yaygın yanal hareket potansiyeline sahip olduğunu gösteriyor.
Azaltmalar
CISA ve Microsoft, tehdidi ortadan kaldırmak için hızlı eylem yapılmasını öneriyor. İlk olarak, WSUS rolünün etkin olduğu ve 8530/8531 bağlantı noktalarının açık olduğu sunucuları tarayarak güvenlik açığı bulunan sunucuları belirleyin.
23 Ekim bant dışı yamasını hemen uygulayın ve sorunun tam olarak giderildiğinden emin olmak için yeniden başlatın. Bunun geciktirilmesi, ağların kimliği doğrulanmamış RCE’ye maruz kalmasına neden olabilir.
Hemen düzeltme eki uygulayamayanlar için geçici çözümler arasında WSUS rolünün devre dışı bırakılması veya ana bilgisayar güvenlik duvarında etkilenen bağlantı noktalarına gelen trafiğin engellenmesi yer alır; güncelleme yüklenene kadar bunlar tersine çevrilmemelidir.
WSUS sunucularının ötesinde, kuruluşların kalan tüm Windows Sunucularını güncellemesi ve kurulum sonrasında yeniden başlatması gerekir. Olağandışı GetCookie() istekleri veya Base64 verileri gibi anormal WSUS trafiğini tespit etmek için izleme araçları dağıtılmalıdır.
Uzmanlar, yama uygulanmamış sistemlerin gelişmiş kalıcı tehditler için giriş noktası görevi görerek hibrit bulut kurulumlarındaki hasarı artırabileceği konusunda uyarıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
