ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Microsoft Windows’ta kritik bir ayrıcalık artış kırılganlığının aktif olarak kullanılması konusunda uyardı.
CVE-2021-43226 olarak bilinen bu kusur, Ortak Günlük Dosya Sistemi (CLFS) sürücüsünde bulunur. Yerel erişim elde eden saldırganlar güvenlik kontrollerini atlayabilir ve ayrıcalıklarını yükseltebilir ve potansiyel olarak tam sistem uzlaşmasına yol açabilir.
Güvenlik açığının arka planı
CLFS sürücüsü, sistemi ve uygulama olaylarını izleyen günlük dosyalarını yönetmekten sorumlu olan Windows’un temel bir bileşenidir.
CVE-2021-43226 ilk olarak Microsoft tarafından 2021’in sonlarında açıklandı, ancak son zeka, tehdit aktörlerinin fidye yazılımı kampanyalarında kusurdan yararlanmaya başladığını gösteriyor.
| Ürün | CVE | Tanım |
| Pencere | CVE-2021-43226 | Microsoft Windows Ortak Günlük Dosyası Sistemi Sürücüsü, Kontrollerin Bypass’ı sağlayan bir ayrıcalık artışı güvenlik açığı içerir |
Hangi belirli grupların güvenlik açığından yararlandığı belirsizliğini korumakla birlikte, ilgili olaylardaki ani artış, CISA’yı bu sorunu 6 Ekim 2025’te bilinen sömürülen güvenlik açıkları kataloğuna eklemeye teşvik etti.
Yerel ayrıcalık artış güvenlik açıkları ciddi bir risk oluşturmaktadır, çünkü saldırganların başlangıçta izin verilenden daha yüksek erişim seviyeleri kazanmalarına izin verirler.
Hedeflenen saldırılarda, düşmanlar genellikle bu tür kusurları uzaktan kod yürütme güvenlik açıklarıyla zincirler.
Önce açık bir hizmet veya kimlik avı saldırısı yoluyla kodu yürüterek, bir ağ içinde yanal olarak hareket etmek ve hassas verilere erişmek için CVE-2021-43226’yı kullanırlar.
Yerel saldırganlar bir sisteme erişebilirse, Microsoft Windows’un etkilenen sürümlerini çalıştıran herhangi bir kuruluş risk altındadır.
Hassas verileri, kritik uygulamaları veya bulut yönetimi araçlarını barındıran iş istasyonları ve sunucular ana hedeflerdir.
Güvenlik açığı, temel ayrıcalıklarla kodu yürütmenin saldırganının ötesinde kullanıcı etkileşimi gerektirmez.
Sonuç olarak, güvenlik ekipleri veri hırsızlığına, fidye için şifrelemeye veya kritik iş akışlarının sabotajına yol açabilecek yetkisiz ayrıcalık artışlarını önlemek için hızlı hareket etmelidir.
Küçük ve orta ölçekli kuruluşlar, genellikle özel olay müdahale ekiplerinden veya kapsamlı yama yönetimi süreçlerinden yoksun oldukları için belirli zorluklarla karşılaşabilirler.
Zamanında hafifletme olmadan, tek bir uzlaşmış iş istasyonu bile bir saldırganın etki alanı yöneticisi erişimi kazanmasına izin vererek bir ağ üzerinde kontrol sağlar.
CISA, etkilenen tüm kullanıcıların Microsoft tarafından sağlanan hafifletmeleri gecikmeden uygulamasını önerir. Bunlar arasında en son güvenlik güncellemelerinin yüklenmesi ve uç nokta koruma araçlarının bilinen sömürü girişimlerini algılamasını ve engellemesini içerir.
Bulut hizmetlerini kullanan kuruluşlar, federal ajanslar ve yükleniciler için koordineli kırılganlık açıklamalarını ve yama yönetimini zorunlu kılan bağlayıcı Operasyonel Direktif (BOD) 22-01’deki rehberliği izlemelidir.
Acil güncellemelerin mümkün olmadığı durumlarda, sistem sahipleri CLFS sürücüsüne erişimi kısıtlamak veya yüksek riskli sistemleri izole etmek gibi geçici geçici çözümleri dikkate almalıdır.
Desteklenmemiş veya yönetilmeyen Windows kurulumlarının kullanımını durdurmak pozlamayı azaltacaktır. Güvenlik ekipleri ayrıca olağandışı CLFS sürücü etkinliği için günlükleri gözden geçirmeli ve sömürü denemelerini gösterebilecek etkinlikler için uyarılar yapılandırmalıdır.
Organizasyonlar, CVE-2021-43226’yı hızlı yama, izleme ve rehberlik uyumluluğu yoluyla ele alarak, ayrıcalık artış riskini azaltabilir ve kritik varlıkları fidye yazılımı ve diğer siber tehditlerden koruyabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.