Microsoft’un en son yaması Salı güncellemesi, 10 Haziran’da Teatime çevresinde programa girdi ve yöneticiler yaza çok daha hafif bir yükle-en azından geç saatlerden daha hafif-dikkat çekti ve sadece iki potansiyel sıfır günlük ortak güvenlik açığı ve açığa çıkma (CVES) kapsamda.
Bu ay yama için en acil iki sorun CVE-2025-33053, Web Dağıtılmış Yazarlık ve Sürüm (WebDAV) ve CVE-2025-33073’te bir uzaktan kod yürütme (RCE) kusuru, Windows Server Mesaj Bloğu (SMB) istemcisinde ayrıcalık (EOP) güvenlik açığı. Her ikisi de 8.8 CVSS skoru taşır.
Microsoft, bu CVES’lerin birincisinin vahşi doğada kullanıldığına dair kanıtları olduğunu açıkladı, ancak kavram kanıtı kodu kamuya açık değilken, ikincisi ise tam tersi doğrudur. RCE kusurunu Check Point Research’ten Alexandra Gofman ve David Driker’a ve ikincisini Crowdstrike, Synacktiv, Syss GmbH ve Google Project Zero ile araştırmacılara verdi.
Bu ikisinden CVE-2025-33053 muhtemelen en acil yama ihtiyacını sunar. Bunun nedeni, pratikte, sorunun hala geçersiz İnternet Explorer tarayıcıyı eski bir kapasiteye dahil eden çeşitli araçları etkilemesidir, bu nedenle Microsoft, Windows 8 ve Server 2012’ye kadar uzanan uzun destek dışı platformlar için yamalar üretmeye zorlanmıştır.
Patch Management Uzmanı Eylem1’in başkanı ve kurucu ortağı Mike Walters, “Bu güvenlik açığı, kullanıcılar kötü amaçlı URL’leri tıkladığında saldırganların etkilenen sistemlerde uzaktan kod yürütmesine izin veriyor” dedi.
“İstismar, mevcut kullanıcı bağlamında keyfi kod çalıştırmak için WebDAV’ın dosya işleme yeteneklerinden yararlanır. Kullanıcı yönetim ayrıcalıklarına sahipse, etki şiddetli olabilir.
Walters, “Bu kusuru özellikle endişelendiren şey, uzaktan dosya paylaşımı ve işbirliği için kurumsal ortamlarda WebDAV’ın yaygın kullanımıdır. Birçok kuruluş, genellikle tanıttığı güvenlik risklerini tam olarak anlamadan yasal iş ihtiyaçları için WebDAV’yi mümkün kılar” dedi.
“Potansiyel etki, dünya çapında milyonlarca kuruluşla risk altında. İşletmelerin tahmini% 70 ila 80’i savunmasız olabilir – özellikle de kimlik avı tehditlerinde katı URL filtreleme veya kullanıcı eğitimi yok” dedi.
Bu arada, Imgersive’daki siber tehdit istihbarat araştırmacısı Ben Hopkins, kuralı ikinci potansiyel sıfır günü CVE-2023-33073 üzerinde yürüttü.
Hopkins, “Başarılı bir istismarın bir saldırganın tehlikeye atılan bir sistemde daha üst düzey izinler kazanmasına izin vereceğini gösteren ayrıcalık güvenlik açığı artışı olarak sınıflandırılıyor” diye açıkladı.
“Tehdit aktörleri, bu nitelikteki güvenlik açıklarını büyük ölçüde ararlar. Bir saldırgan bir makinede ilk dayanak kazandıktan sonra, genellikle kimlik avı veya başka bir güvenlik açığından yararlanmak gibi yöntemler yoluyla, daha derin kontrol elde etmek için ayrıcalık artış kusurlarından yararlanabilirler.”
“Yüksek ayrıcalıklarla, bir saldırgan güvenlik araçlarını potansiyel olarak devre dışı bırakabilir, hassas verilere erişebilir ve dışarı atabilir, kalıcı kötü amaçlı yazılım kurabilir veya ek sistemleri tehlikeye atmak için ağ boyunca yanal olarak hareket edebilir.
“Yüksek şiddet derecesi ve Windows ağında SMB’nin kritik rolü göz önüne alındığında, kuruluşlar bu güvenlik açığının ortaya koyduğu riski azaltmak için gerekli güvenlik yamalarının uygulanmasına öncelik vermelidir.”
Duvara asılı 10 kritik kusur
Microsoft June Patch Salı Güncellemesi, Microsoft Office, Dört Dört Etkileyen 10 Kritik Kusur ve Microsoft SharePoint Server, Power Automate, Windows KDC Proxy Service (KPSSVC), Windows Netlogon, Windows uzak masaüstü hizmetleri ve Windows Schannel’de. Bunlardan sekizi – dört ofis vulns’in hepsi de dahil olmak üzere – RCE sorunlarıdır ve diğer ikisi ayrıcalık artışını mümkün kılar.
Imgersive Tehdit Araştırma Kıdemli Direktörü Kev Breen, savunucuların ofis güvenlik açıklarını öncelikler listesine koymaları gerektiğini söyledi.
Breen, “Ücretsiz, yığın tabanlı tampon taşmasından sonra bir kullanım olarak listelenen ve karışıklık RCE, bu güvenlik açıkları, bir saldırganın bir kurban tarafından gönderilip açılırsa, saldırganın kurbanın bilgisayarındaki komutları uzaktan çalıştırmasına erişim sağlayacak kötü niyetli bir belge oluşturmasına izin verecektir” dedi.
“Microsoft ayrıca ‘önizleme bölmesinin’ bir saldırı vektörü olduğunu söylüyor, yani eki Outlook gibi bir şeyde görüntülemenin istismarı tetiklemek için yeterli olabileceğini söylüyor.
Breen, “Microsoft’un sürüm sırasında Microsoft 365 için herhangi bir güncelleme olmadığını ve müşterilere bu bildirimde bir revizyon yoluyla bilgilendirilecek” dedi.
“Bu CVE aktif olarak sömürülmese de, tehdit aktörlerinin, kuruluşların yamaları açma şansı olmadan önce N-Day istismarlarını yaratmak için mühendis yamaları hızla tersine çevirdikleri için risk yüksek olmaya devam ediyor” diye ekledi.