CISA, Microsoft Windows ayrıcalık yükseltme güvenlik açığı CVE-2021-43226’yı 6 Ekim 2025’te Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna ekleyerek acil bir güvenlik danışma belgesi yayınladı.
Güvenlik açığı, Microsoft Windows Ortak Günlük Dosya Sistemi (CLFS) Sürücüsünü etkiliyor ve kurumsal ortamlar için önemli güvenlik riskleri oluşturuyor.
CVE-2021-43226 güvenlik açığı, işlem günlüğü işlemlerini yönetmekten sorumlu temel bir Windows bileşeni olan Microsoft’un Ortak Günlük Dosya Sistemi Sürücüsü’nde bulunuyor.
Microsoft Windows Ayrıcalık Yükseltme Kusuru (CVE-2021-43226)
Bu ayrıcalık yükseltme kusuru, mevcut sistem erişimine sahip yerel, kimliği doğrulanmış saldırganların kritik güvenlik mekanizmalarını atlamasına ve ayrıcalıklarını SİSTEM düzeyinde erişime yükseltmesine olanak tanır.
Microsoft’un Güvenlik Yanıt Merkezi’ne göre güvenlik açığı, CLFS sürücüsünün bellek yönetimi rutinleri içinde kullanıcı tarafından sağlanan verilerin hatalı şekilde doğrulanmasından kaynaklanıyor.
Saldırganlar, arabellek taşması koşullarını tetikleyen ve yükseltilmiş ayrıcalıklarla rastgele kod yürütülmesine yol açan kötü amaçlı CLFS günlük dosyaları oluşturarak bu zayıflıktan yararlanabilir.
Bu istismar, önkoşul olarak yerel erişim ve standart kullanıcı ayrıcalıkları gerektiriyor; bu da, saldırganların kimlik avı veya sosyal mühendislik saldırıları yoluyla zaten bir başlangıç noktası elde ettiği kurumsal ortamlarda onu özellikle tehlikeli hale getiriyor.
Güvenlik açığı, Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 ve Windows Server 2022 dahil olmak üzere birden çok Windows sürümünü etkiliyor.
Güvenlik araştırmacıları, yeraltı forumlarında dolaşan ve aktif istismar kampanyalarının olasılığını artıran kavram kanıtı niteliğindeki istismar kodunu tespit etti.
| Risk Faktörleri | Detaylar |
| Etkilenen Ürünler | Microsoft Windows 10 (tüm sürümler)Microsoft Windows 11 (tüm sürümler)Windows Server 2016Windows Server 2019Windows Server 2022Windows Server 2008 R2 SP1Windows 7 SP1 |
| Darbe | Ayrıcalık Yükseltmesi |
| Kullanım Önkoşulları | Hedef sisteme yerel erişim, Doğrulanmış kullanıcı hesabı, Yerel olarak kod yürütme yeteneği, Minimum standart kullanıcı ayrıcalıkları |
| CVSS 3.1 Puanı | 7,8 (Yüksek) |
Azaltmalar
CISA, federal kurumların ve kritik altyapı kuruluşlarının güvenlik yamalarını derhal uygulamasını gerektiren zorunlu bir düzeltme son tarihi olan 27 Ekim 2025’i belirledi.
Yönerge, aktif istismar kanıtı bulunan güvenlik açıklarına karşı hızlı eylem yapılmasını zorunlu kılan Bağlayıcı Operasyonel Yönerge (BOD) 22-01 yönergelerini takip ediyor.
Kuruluşlar, kurumsal dağıtımlar için Microsoft’un güvenlik güncellemelerini standart Windows Update mekanizması veya Windows Server Update Services (WSUS) aracılığıyla uygulamalıdır.
Sistem yöneticileri öncelikle etki alanı denetleyicilerine, dosya sunucularına ve diğer kritik altyapı bileşenlerine yama uygulama işlemine öncelik vermelidir.
Microsoft, güncellemeleri anında alamayan sistemler için, geçici azaltıcı önlemler olarak Uygulama Denetimi ilkelerinin ve Windows Defender Exploit Guard’ın uygulanmasını önerir.
Güvenlik açığının CISA’nın KEV kataloğuna eklenmesi, gerçek dünyadaki saldırı senaryolarında kötüye kullanıldığının doğrulandığını gösteriyor; ancak belirli fidye yazılımı kampanyasının ilişkilendirmesi bilinmiyor.
Güvenlik ekipleri, özellikle clfs.sys ve clfsw32.dll gibi CLFS ile ilgili işlemleri içeren, yetkisiz dosya sistemi erişim girişimlerini gösteren şüpheli Olay Kimliği 4656 ve 4658 günlüklerini izlemelidir.
Kuruluşlar, altyapılarındaki savunmasız sistemleri belirlemek için Microsoft Baseline Security Analizörü veya üçüncü taraf tarayıcılar gibi araçları kullanarak acil güvenlik açığı değerlendirmeleri yapmalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
