CISA, Microsoft Windows CLFS Güvenlik Açığı’nı Wild’da Susturan uyarıyor

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bilinen sömürülen güvenlik açıkları (KEV) kataloğuna kritik bir Microsoft Windows güvenlik açığı ekledi.

CVE-2025-29824 olarak izlenen Windows Ortak Günlük Dosya Sistemi (CLFS) sürücüsündeki kusur, hedeflenen fidye yazılımı saldırılarında aktif olarak sömürülüyor.

Kuruluşların, uzlaşma riskini azaltmak için 29 Nisan 2025’e kadar bu güvenlik açığını düzeltmeleri gerekmektedir.

Microsoft Windows CLFS Güvenlik Açığı

Güvenlik kusuru, bir programın serbest bırakıldıktan sonra belleğe erişmeye çalıştığında ortaya çıkan CWE-416 kapsamında kategorize edilen bir kullanımsız (UAF) güvenlik açığı olarak sınıflandırılır.

CVSS skoru 7.8 ile, bu ayrıcalık (EOP) güvenlik açığı yüksekliği, yerel erişimi olan bir saldırganın sistem ayrıcalıklarına yükselmesine ve etkilenen sistemin tam kontrolünü etkili bir şekilde kontrol etmesine izin verir.

Microsoft, Vahşi’de kullanılmadığını doğruladıktan sonra Salı günü Nisan 2025 Patch güncellemesi sırasında bu sıfır gün güvenlik açığını düzenledi.

Bu güvenlik açığı için teknik vektör, CVSS: 3.1/AV: L/AC: L/PR: L/UI: N/S: U/C: H/I: H/A: H olarak temsil edilir, ancak yerel erişim gereksinimlerini gösterir, ancak başarılı bir şekilde kullanılırsa gizlilik, bütünlük ve kullanılabilirlik üzerinde yüksek etkiye sahiptir.

Microsoft’un güvenlik ekibi, “Pipemagik” olarak bilinen bir Truva atı aracılığıyla istismar veren bir kötü amaçlı yazılım kampanyası belirledi. Bu modüler arka kapı, 2022’den beri vahşi doğada gözlemlenmiştir ve daha önce diğer pencereler sıfır gün istismarlarını teslim etmek için kullanılmıştır.

Microsoft, “Hedefler, bilgi teknolojisindeki kuruluşları (BT) ve ABD’nin gayrimenkul sektörlerini, bir İspanyol yazılım şirketi olan Venezuela’daki finans sektörü ve Suudi Arabistan’daki perakende sektörü içeriyor” dedi.

Saldırı zinciri, daha önce tehlikeye atılan meşru üçüncü taraf sitelerinden kötü amaçlı yazılım indirmek için Certutil yardımcı programını kullanan tehdit aktörleriyle başlar.

Şifreli bir yüke sahip bir msBuild dosyası olarak gizlenen kötü amaçlı yazılım, Pipemagic’i açar ve başlatır, bu da CVE-2025-29824 istismarını sunar.

Microsoft Tehdit İstihbaratına göre: “İstismar, CLFS çekirdek sürücüsünde bir güvenlik açığını hedefler. Daha sonra istismar, bir bellek yolsuzluğu ve RTLSetAllbits API’sını 0xffffffffffffffffffffffffffFffffffffffffffffffffffffffe kullanır, bu da süreç enjeksiyonuna izin veren, işlem için tüm ayrıcalıklar sağlar”.

Yüksek ayrıcalıklar kazandıktan sonra, saldırganlar yerel Güvenlik İdaresi Alt Sistem Hizmetinin (LSASS) belleğini boşaltarak ve dosyaları rastgele uzantılarla şifreleyen fidye yazılımlarını dağıtarak kullanıcı kimlik bilgilerini çıkarırlar.

Güvenlik açığının özeti aşağıda verilmiştir:

Cisa’nın rehberliği

CISA, 8 Nisan 2025’te KEV kataloğuna CVE-2025-29824 ekledi ve hemen dikkat gerektiren önemli bir tehdit olarak işaretledi.

Federal Sivil Yürütme Şubesi (FCEB) ajansları, Bağlayıcı Operasyonel Direktif (BOD) 22-01 uyarınca 29 Nisan 2025’e kadar bu kırılganlığı düzeltmelidir.

Federal olmayan kuruluşlar için CISA, uzlaşma riskini azaltmak için aynı iyileştirme zaman çizelgelerinin uygulanmasını şiddetle tavsiye eder.

Ajans, KEV kataloğunun “güvenlik açığı yönetimi önceliklendirme çerçevesine girdi” olarak kullanılması gerektiğini vurgulamaktadır.

Kuruluşlar derhal Microsoft’un güvenlik yamalarını uygulamalı, savunmasız sistemlere fiziksel ve yerel erişimi sınırlandırmalı ve uç nokta algılama ve yanıt (EDR) araçlarının sömürü girişimlerini algılamak için uygun şekilde yapılandırılmasını sağlamalıdır.

Bu güvenlik açığı, çekirdek düzeyinde kusurların devam eden tehdidini vurgular ve bugünün siber güvenlik manzarasında zamanında yama yönetiminin kritik önemini güçlendirir.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try 50 Request for Free