Microsoft’un Haziran 2025’te düzelttiği bir Windows SMB İstemcisi güvenlik açığı olan CVE-2025-33073, saldırganlar tarafından istismar ediliyor.
Onay, muhtemelen güvenilir raporlara dayanarak açığı Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekleyen Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) geldi.
CVE-2025-33073 Hakkında
CVE-2025-33073 ayrıcalık yükseltmeye izin vererek saldırganların savunmasız bir Windows veya Windows Server sisteminde SİSTEM (en yüksek) ayrıcalıkları elde etmesine olanak tanır.
Microsoft, “Bir saldırgan, bu güvenlik açığından yararlanmak için, kurbanın makinesini SMB kullanarak saldırı sistemine tekrar bağlanmaya ve kimlik doğrulaması yapmaya zorlamak amacıyla özel hazırlanmış kötü amaçlı bir komut dosyası çalıştırabilir” diyor. “Bağlantı kurulduğunda kötü amaçlı sunucu protokolü tehlikeye atabilir.”
Saldırgan, hedef kullanıcıyı bu betiği çalıştırmaya da ikna edebilir.
Microsoft düzeltmeyi yayınladığında, güvenlik açığının kamuya açıklandığını ancak aktif olarak kullanılmadığını söyledi.
Ertesi gün şirket, kusurun keşfini birkaç araştırmacıya bağladı: CrowdStrike’dan Keisuke Hirata; Synacktiv’den Wilfried Bécard; GuidePoint Security’den Cameron Stish; BNP Paribas’dan Ahamada M’Bamba; SySS GmbH’den Stefan Walter ve Daniel Isern; RedTeam Pentesting GmbH; ve Google Project Zero’dan James Forshaw.
Bu araştırmacılardan bazıları güvenlik açığıyla ilgili teknik ayrıntıları da yayınladı.
Bécard ve meslektaşı Guillaume André, bunun “NTLM yansıma azaltımlarını atladığını ve kimliği doğrulanmış uzak bir saldırganın SMB imzalamayı zorunlu kılmayan herhangi bir makinede SİSTEM olarak rastgele komutlar yürütmesine izin verdiğini” ve Microsoft’un CVE-2025-33073’ü bir ayrıcalık yükselmesi güvenlik açığı olarak kabul etmesine rağmen bunun aslında kimliği doğrulanmış bir uzaktan komut yürütme kusuru olduğunu belirtti.
Diğer araştırmacılar kavram kanıtı istismarlarını yayınladılar.
İstismar edilen diğer güvenlik açıkları
Her zamanki gibi CISA, saldırılarla ilgili ayrıntıları paylaşmadı; yalnızca ABD Federal Sivil Yürütme Organı (FCEB) kurumlarına, saldırıyı 10 Kasım 2025’e kadar düzeltmeleri yönünde talimat verdi.
Aynı zamanda ve aynı süre içerisinde kurumlara aşağıdaki önlemlerin alınması talimatı da verildi:
- Apple’ın iOS ve macOS’unu etkileyen eski bir güvenlik açığı (CVE-2022-48503)
- Oracle E-Business Suite’te yakın zamanda yamalı bir SSRF güvenlik açığı (CVE-2025-61884) var ve bu güvenlik açığı Cl0p tarafından yapılan son saldırılarda kullanılmış olabilir.
- WatchTowr araştırmacıları tarafından Kentico Xperience Staging Sync Server’da keşfedilen ve açıklanan iki kimlik doğrulama atlama güvenlik açığı (CVE-2025-2746, CVE-2025-2747).
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!