ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 25 Şubat 2025’te, tehdit aktörlerinin Microsoft’un ortak merkez platformunda (CVE-2024-49035) kritik bir ayrıcalık artış kırılganlığından yararlandığını doğrulayan acil bir danışma yayınladı.
Yetersiz saldırganların yüksek ağ ayrıcalıkları kazanmasına izin veren yanlış erişim kontrolü kusuru, CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna, sofra içi istismar kanıtlarının ardından eklendi.
Microsoft başlangıçta Kasım 2024’te güvenlik açığını açıkladı ve 8.7 CVSS puanı atadı. Bununla birlikte, ulusal güvenlik açığı veritabanı daha sonra düşük saldırı karmaşıklığı ve gizlilik ve dürüstlük üzerindeki yüksek etkisi nedeniyle 10 üzerinden 9.8’i derecelendirmiştir.
Güvenlik açığı detayları ve sömürü
CVE-2024-49035, bulut hizmetlerini, lisanslarını ve müşteri hesaplarını yönetmek için bir merkez olan Microsoft Ortak Merkez Portalında (Partner.microsoft.com) uygunsuz ayrıcalık yönetiminden kaynaklanmaktadır.
Saldırganlar, ayrıcalıkları artırmak, potansiyel olarak hassas verilere erişmek, kötü amaçlı yükler dağıtmak veya ağlara yanal olarak hareket etmek için kimlik doğrulaması yapmadan kusurdan yararlanabilir.
Microsoft devam eden saldırılarla ilgili özellikleri açıklamamış olsa da, CISA şiddetini vurguladı ve bu tür güvenlik açıklarının siber suçlular için “sık saldırı vektörleri” olduğunu belirtti. Güvenlik araştırmacıları Gautam Peri, Apoorv Wadhwa ve anonim bir katılımcı kusuru tanımladı, ancak bulguları başlangıçta kamu istismarı raporlarını tetiklemedi.
Microsoft, otomatik olarak Power Apps Online Hizmeti destekleyen Ortak Merkezi’ne yamaları sunarak kullanıcılara manuel müdahale gerekmediğini garanti etti.
Ancak CISA, federal sivil yürütme şube kurumlarını 18 Mart 2025’e kadar güncellemeler uygulamaya zorladı ve özel sektör kuruluşlarını davayı takip etmeye çağırdı.
Önerilen önlemler arasında ağ segmentasyonunun uygulanması, erişim kontrollerinin denetlenmesi ve yanal hareketi sınırlamak için sıfır tröst ilkelerinin benimsenmesi yer alır.
CVE-2024-49035’in sömürülmesi, yaygın olarak kullanılan kurumsal platformlarda kalıcı riskleri vurgulamaktadır. KEV kataloğuna eklenen eşzamanlı Zimbra XSS kusurunun (CVE-2023-34192) aksine, bu Microsoft güvenlik açığı, potansiyel tedarik zinciri uzlaşmalarını artırarak merkezi bir ortak ekosistemi etkiler.
Microsoft Power uygulamalarına bağlantısı, paylaşılan altyapı riskleri ile ilgili endişeleri artırıyor, ancak şirket sorunun çevrimiçi hizmetle sınırlı olduğunu iddia ediyor.
Kuruluşlara Microsoft’un danışmanlarını izlemeleri ve CISA’nın Bulut Hizmetleri için 22-01 KURULUŞUNDAN BAĞLANTI Operasyonel Direktifi uygulamaları tavsiye edilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free