Salı günü Microsoft, bilgisayarları Genişletilmiş Güvenlik Güncelleştirmeleri (ESU) programına kayıtlı olmadığı sürece teknoloji devinin Windows 10 işletim sistemi desteğini resmi olarak sona erdirmesi nedeniyle, vahşi doğada aktif olarak istismar edilen üç güvenlik açığı da dahil olmak üzere, ürünlerine yayılan çok sayıda 183 güvenlik açığı için düzeltmeler yayınladı.
183 güvenlik açığından sekizi Microsoft tarafından verilmeyen CVE’lerdir. 165 kadar kusurun ciddiyeti Önemli olarak derecelendirildi, ardından 17’si Kritik ve bir tanesi Orta olarak derecelendirildi. Bunların büyük çoğunluğu, uzaktan kod yürütme (33), bilgilerin ifşa edilmesi (28), kimlik sahtekarlığı (14), hizmet reddi (11) ve güvenlik özelliği atlama (11) sorunlarıyla birlikte ayrıcalıkların yükseltilmesi (84) güvenlik açıklarıyla ilgilidir.
Güncellemeler, Eylül 2025’teki Salı Yaması güncellemesinin yayınlanmasından bu yana Microsoft’un Chromium tabanlı Edge tarayıcısında giderdiği 25 güvenlik açığına ek olarak geliyor.
Aktif olarak istismar edilen iki Windows sıfır günü aşağıdaki gibidir:
- CVE-2025-24990 (CVSS puanı: 7,8) – Windows Agere Modem Sürücüsü (“ltmdm64.sys”) Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2025-59230 (CVSS puanı: 7,8) – Windows Uzaktan Erişim Bağlantı Yöneticisi (RasMan) Ayrıcalık Yükselmesi Güvenlik Açığı
Microsoft, her iki sorunun da saldırganların yükseltilmiş ayrıcalıklarla kod yürütmesine izin verebileceğini söyledi ancak şu anda bunların nasıl istismar edildiğine ve bu çabaların ne kadar yaygın olabileceğine dair hiçbir gösterge yok. CVE-2025-24990 durumunda şirket, eski bir üçüncü taraf bileşeni için yama yayınlamak yerine sürücüyü tamamen kaldırmayı planladığını söyledi.
Güvenlik kusuru, Action1’in CEO’su ve kurucu ortağı Alex Vovk tarafından, ilgili donanımın mevcut veya kullanımda olup olmadığına bakılmaksızın, tüm Windows sistemlerine varsayılan olarak yüklenen eski koddan kaynaklandığı için “tehlikeli” olarak tanımlandı.
Rapid7 baş yazılım mühendisi Adam Barnett, “Güvenlik açığı olan sürücü, Server 2025’e kadar ve dahil olmak üzere Windows’un her sürümüyle birlikte geliyor” dedi. “Belki faks modeminiz farklı bir yonga seti kullanıyor ve bu nedenle Agere sürücüsüne ihtiyacınız yok? Belki de e-postayı yeni keşfettiniz? Şansınız yaver gitti. Bilgisayarınız hâlâ savunmasız ve minimum ayrıcalıklı hesaba sahip yerel bir saldırgan yönetici konumuna yükselebilir.”
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang’a göre CVE-2025-59230, RasMan’da sıfır gün olarak istismar edilen ilk güvenlik açığıdır. Microsoft, Ocak 2022’den bu yana bileşende 20’den fazla kusuru yamaladı.
Gerçek dünyadaki saldırılarda istismar edilen üçüncü güvenlik açığı, 11’den önce IGEL OS’de Güvenli Önyükleme atlama vakasıyla ilgilidir (CVE-2025-47827, CVSS puanı: 4,6). Kusurla ilgili ayrıntılar ilk olarak Haziran 2025’te güvenlik araştırmacısı Zack Didcott tarafından kamuya açıklandı.
Immersive Tehdit Araştırması Kıdemli Direktörü Kev Breen, “Tehdit aktörleri çekirdek düzeyinde bir rootkit konuşlandırarak IGEL işletim sisteminin kendisine erişim sağlayabilir ve buna bağlı olarak kimlik bilgilerini ele geçirmek de dahil olmak üzere Sanal Masaüstlerine müdahale edebileceğinden, Güvenli Önyükleme bypass’ının etkileri önemli olabilir” dedi.
“Bunun uzaktan bir saldırı olmadığını ve bu tür bir güvenlik açığından yararlanmak için genellikle fiziksel erişimin gerekli olduğunu belirtmek gerekir; bu da ‘kötü hizmetçi’ tarzı saldırıların sık seyahat eden çalışanları etkileyen en muhtemel vektör olduğu anlamına geliyor.”
O zamandan bu yana üç sorun da ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna eklendi ve federal kurumların yamaları 4 Kasım 2025’e kadar uygulamasını gerektiriyor.
Dikkat edilmesi gereken diğer bazı kritik güvenlik açıkları arasında Windows Server Update Service’teki (WSUS) uzaktan kod yürütme (RCE) hatası (CVE-2025-59287, CVSS puanı: 9,8), Güvenilir Bilgi İşlem Grubu (TCG) TPM2.0 referans uygulamasının CryptHmacSign yardımcı işlevindeki (CVE-2025-2884, CVSS puanı: 5.3) ve Windows URL Ayrıştırmada bir RCE (CVE-2025-59295, 8.8).
Immersive’in siber güvenlik baş mühendisi Ben McCarthy, “Bir saldırgan, dikkatli bir şekilde kötü amaçlı bir URL oluşturarak bundan yararlanabilir” dedi. “Taşan veriler, bir işlev işaretçisi veya bir nesnenin sanal işlev tablosu (vtable) işaretçisi gibi kritik program verilerinin üzerine yazılacak şekilde tasarlanabilir.”
“Uygulama daha sonra bu bozuk işaretçiyi kullanmaya çalıştığında meşru bir işlevi çağırmak yerine programın yürütme akışını saldırgan tarafından kontrol edilen bir bellek adresine yönlendirir. Bu, saldırganın hedef sistemde rastgele kod (kabuk kodu) yürütmesine olanak tanır.”
Bu ayın güncellemesinde en yüksek CVSS puanına sahip iki güvenlik açığı, Microsoft Grafik Bileşeni’ndeki bir ayrıcalık yükseltme kusuru (CVE-2025-49708, CVSS puanı: 9,9) ve ASP.NET’teki bir güvenlik özelliği atlamasıyla (CVE-2025-55315, CVSS puanı: 9,9) ilgilidir.
CVE-2025-55315’ten yararlanmak bir saldırganın ilk önce kimliğinin doğrulanmasını gerektirse de, güvenlik kontrollerini gizlice aşmak ve ilk kimliği doğrulanmış isteğin gövdesine ikinci, kötü amaçlı bir HTTP isteği kaçırarak kötü niyetli eylemler gerçekleştirmek için kötüye kullanılabilir.
McCarthy, CVE-2025-49708 ile ilgili olarak “Bir kuruluşun bu güvenlik açığını düzeltmeye öncelik vermesi gerekiyor çünkü bu güvenlik açığı, sanallaştırmanın temel güvenlik vaadini geçersiz kılıyor.” diyerek bunu tam bir sanal makineden (VM) kaçışa yol açan yüksek etkili bir kusur olarak nitelendirdi.
“Başarılı bir açıktan yararlanma, kritik olmayan tek bir konuk VM’ye düşük ayrıcalıklı erişim elde eden bir saldırganın doğrudan temeldeki ana bilgisayar sunucusunda SİSTEM ayrıcalıklarıyla kodu kırabilmesi ve yürütebilmesi anlamına gelir. Bu izolasyon başarısızlığı, saldırganın daha sonra, görev açısından kritik etki alanı denetleyicileri, veritabanları veya üretim uygulamaları da dahil olmak üzere aynı ana bilgisayar üzerinde çalışan tüm diğer VM’lerdeki verilere erişebileceği, bunları değiştirebileceği veya yok edebileceği anlamına gelir.