Siber güvenlik araştırmacıları, bilgisayar korsanlarının Microsoft’un Windows Server Update Services’taki (WSUS) kritik bir uzaktan kod yürütme (RCE) güvenlik açığından aktif olarak yararlandığını keşfettikten sonra alarma geçiyor.
CVE-2025-59287 olarak izlenen kusur, kimliği doğrulanmamış saldırganların savunmasız sunucularda rastgele kod çalıştırmasına izin veriyor ve kanıtlar, bu saldırıların “klavye üzerinde uygulamalı keşif” olarak bilinen bir teknik olan manuel olarak gerçekleştirildiğini gösteriyor.
Saldırganlar Vakit Kaybetmiyor
Etkinlik ilk olarak bir müşterinin WSUS sisteminden kritik bir uyarı alan siber güvenlik firması Eye Security tarafından tespit edildi.
Uyarı şunu gösterdi whoami.exe tarafından idam edilmişti w3wp.exe işlemi, kötü amaçlı bir web kabuğunun güçlü bir göstergesidir.
Daha ileri araştırmalar, her biri arasında birkaç saniye olan bir dizi komutun yürütüldüğünü ortaya çıkardı; bu, otomatikleştirilmiş bir komut dosyası yerine bir insan saldırganın olduğunu akla getiriyor.
Güvenlik açığı, Hawktrace’in araştırmasında ayrıntılı olarak açıklanan bir seri durumdan çıkarma hatasıdır. İlk kavram kanıtı yalnızca hesap makinesinin patlatılmasını gösterse de, saldırganlar onu daha kötü amaçlar için silah haline getirmiş durumda.
Saldırı günlüklerinin analizi, .NET yürütülebilir dosyasını içeren base64 kodlu bir veriyi gösterdi. Bu veri, saldırganın bir HTTP istek başlığı üzerinden iletilen komutları yürütmesine olanak tanıyarak, saldırganın ele geçirilen sunucu üzerinde kontrol sahibi olmasını sağlar.
Binlerce Sunucu Risk Altında
Bu güvenlik açığı özellikle endişe vericidir çünkü WSUS sunucuları, güncellemelerin bir kuruluş genelinde dağıtılmasında ağ yönetiminin temel taşıdır. Bir uzlaşma, fidye yazılımı dağıtımı da dahil olmak üzere geniş çapta izinsiz girişlere yol açabilir.
İnternet taraması, 8530 veya 8531 bağlantı noktalarının açıkta olduğu yaklaşık 8.000 WSUS sunucusunu ortaya çıkardı, ancak bunlardan kaçının savunmasız olduğu doğrulanmadı.
Bu etkin istismarlara yanıt olarak Microsoft, CVE-2025-59287’yi adreslemek üzere KB5070883 adlı bant dışı bir yama yayımladı.
Güvenlik uzmanları, tüm kuruluşların yamayı derhal uygulamasını şiddetle tavsiye ediyor. Ayrıca, WSUS sunucularının genel internete açık olmamasını ve şüpheli etkinlikleri izlemek için güçlü Uç Nokta Tespit ve Yanıt (EDR) çözümlerinin mevcut olmasını sağlamayı öneriyorlar.
Uzlaşma Göstergeleri (IOC’ler)
| Alan | Değer |
|---|---|
| Hata mesajı | SoapUtilities.CreateException ThrowException: actor = https://host:8531/ClientWebService/client.asmx -> Error thrown in SoftwareDistribution.log after exploitation |
| Serileştirilmiş yük parçası | AAEAAAD/////AQAAAAAAAAAEAQAAAH9 — Serileştirilmiş veri yükünün bir kısmı, şurada bulunur: SoftwareDistribution.log |
| Kaynak IP’si (VPS) | 207.180.254[.]242 — İstismarın gönderildiği VPS |
| SHA256 (yerleşik MZ yükü) | ac7351b617f85863905ba8a30e46a112a9083f4d388fd708ccfe6ed33b5cf91d |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.