Microsoft, saldırganların ayrıcalıkları artırmasına, sahtekarlık saldırılarını gerçekleştirmesine veya hassas bilgilere erişmesine izin verebilecek Azure Cloud Services ve Güç Uygulamaları platformunu etkileyen dört kritik güvenlik açığını yamaladı.
Güvenlik araştırmacıları, bu yüksek şiddetli kusurları keşfetti, biri maksimum CVSS puanı 10.0 aldı ve işletme ortamları üzerindeki potansiyel etkinin altını çizdi.
En şiddetli güvenlik açığı olan CVE-2025-29813, mükemmel bir CVSS skoru 10.0 aldı ve Azure DevOps boru hatlarını etkiler.
.png
)
Kusur, Visual Studio’daki boru hattı iş jetonlarının uygunsuz şekilde ele alınmasından kaynaklanmaktadır.
Bir projeye ilk erişimi olan saldırganlar, kısa vadeli boru hattı tokenlerini uzun vadeli olanlar için değiştirme ve çevre içindeki erişimlerini etkili bir şekilde genişleterek bu güvenlik açığını kullanabilir.
Microsoft, güvenlik bülteninde “Bu güvenlik açığını başarıyla kullanan bir saldırgan bir projeye erişimini genişletebilir” diye açıkladı. Güvenlik açığı, CWE-302 (kimlik doğrulama baypasıyla kabul edilemez verilerle) altında sınıflandırılmıştır.
Azure DevOps Boru Hattı Token Güvenlik Açığı
Azure DevOps kusurunun yanı sıra Microsoft, üç ek kritik güvenlik açıkına değindi:
CVE-2025-29827 Azure otomasyonunu etkiler ve CVSS puanı 9.9 aldı. Bu uygunsuz yetkilendirme güvenlik açığı, kimlik doğrulamalı saldırganların ayrıcalıklarını bir ağ boyunca yükseltmesine izin verir. Güvenlik açığı CWE-285 (uygunsuz yetkilendirme) altında sınıflandırılır.
9.9 puan alan CVE-2025-29972, Azure depolama kaynak sağlayıcısında bir sunucu tarafı isteği Apgenesi (SSRF) güvenlik açığı içerir.
Saldırganlar, diğer hizmetleri veya kullanıcıları taklit eden hazırlanmış talepler göndererek bu kusurdan yararlanabilir.
Dördüncü güvenlik açığı, CVE-2025-47733, Microsoft Power uygulamalarını etkiler ve CVSS puanı 9.1 aldı.
Diğerlerinden farklı olarak, bu SSRF güvenlik açığı, yetkisiz saldırganların bile bir ağ üzerindeki bilgileri ifşa etmesine izin verebilir.
Bu güvenlik açıklarının ciddiyetine rağmen, Microsoft hiçbir kullanıcı işleminin gerekli olmadığını vurgulamıştır.
Dört kusurun hepsi, kamu açıklamasından önce platform düzeyinde tamamen hafifletilmiştir ve herhangi bir potansiyel sömürüyü önler.
Microsoft her güvenlik bülteninde “Bu CVE tarafından belgelenen güvenlik açığı, çözülmesi için hiçbir müşteri eylemi gerektirmez” dedi.
“Bu güvenlik açığı zaten Microsoft tarafından tamamen hafifletildi.”
Diğer kritik bulut hizmeti güvenlik açıkları
Bu kritik güvenlik açıkları kümesi, bulut ortamlarındaki güvenlik sorunlarının bir eğilimini izlemektedir. Bu yılın başlarında Microsoft, vahşi doğada aktif olarak sömürülen bir Windows CLFS sıfır gün güvenlik açığı (CVE-2025-29824) hitap etti.
Mart ayında şirket, bir sonraki.JS CVE-2025-29927 Güvenlik Açığı’na karşı koruma önlemleri yayınladı.
Güvenlik araştırmacıları, Azure Otomasyon Hizmetinde diğer müşteri hesaplarına yetkisiz erişime izin veren “Autowarp” kusuru ve erişim belirteçlerini çalmak için kullanılabilecek Azure paylaşılan önemli yetkilendirme ile ilgili sorunlar da dahil olmak üzere diğer önemli Azure güvenlik açıklarını ortaya çıkarmışlardır.
Microsoft, proaktif olarak yamalanmış olsa bile, düzenli güncellemeler ve güvenlik açıklarının şeffaf açıklanması yoluyla bulut güvenlik duruşunu güçlendirmeye devam ediyor.
Güvenlik uzmanları, kuruluşların bu otomatik azaltmalara rağmen bulut ortamlarının uyanık izlemesini sürdürmelerini önermektedir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!