Microsoft Bing’de CVE-2025-21355 olarak izlenen kritik bir güvenlik kusuru, yetkisiz saldırganların küresel olarak kuruluşlar ve kullanıcılar için ciddi riskler oluşturarak keyfi kodları uzaktan yürütmesine izin verdi.
Kritik bir Bing fonksiyonu için eksik bir kimlik doğrulama mekanizmasına dayanan güvenlik açığı, kullanıcı etkileşimi veya önceki kimlik bilgilerine ihtiyaç duymadan ağ tabanlı sömürü sağladı.
8.6 CVSS puanı ile, bu uzaktan kod yürütme (RCE) güvenlik açığı, 2025’in başlarında Microsoft ekosistemine yönelik en önemli tehditlerden birini temsil etti.
Sömürü mekaniği ve etki
Kusur, bir Bing hizmeti bileşenindeki uygunsuz kimlik doğrulama kontrollerinden kaynaklandı ve doğrulanmamış ağ isteklerinin kod yürütmesine izin verdi.
Saldırganlar, savunmasız sunuculara kötü niyetli olarak hazırlanmış istekler göndererek, potansiyel olarak arka uç sistemlerini tehlikeye atarak, arama sonuçlarını manipüle ederek veya hassas verileri yayarak kullanabilirler.
Bing, Microsoft 365 ve Azure Active Directory gibi kurumsal araçlarla bütünleştikçe, başarılı istismarlar, kurumsal ağlara, veri ihlallerine ve hizmet kesintilerine yanal hareketi riske attı.
Güvenlik analistleri, özellikle Bing’in iş zekası veya bulut hizmetleri için API’lerini kullanan kuruluşlar için, eşleştirilmemiş sistemleri hedefleyen otomatik saldırıların tehlikesini vurguladı.
Siber Güvenlik Haber Raporuna göre Microsoft, güvenlik açığının tüketici ve işletme dağıtımları da dahil olmak üzere tüm Bing hizmet katmanlarını etkilediğini doğruladı.
Şirket taklitçiliği önlemek için teknik özellikleri ifşa etmese de, araştırmacılar, kimlik doğrulama boşluklarının yetkisiz komut yürütmesine izin verdiği Bing’in API veya bulut hizmeti katmanında konutlandığını kaydetti.
Azaltma ve yanıt
Microsoft, 19 Şubat 2025’e kadar sunucularındaki güvenlik açığını ele aldı ve hiçbir müşteri işlemi gerektirmedi.
Yama, Microsoft çalışanı Raj Kumar’ın iç keşfini izledi ve şirket sorunu sessizce çözmesine rağmen bir CVE yayınladı-bulut hizmeti güvenlik açıkları için son şeffaflık girişimleriyle uyumlu bir uygulama.
Kuruluşların, kusurun giriş ve yama tarihi arasındaki olağandışı Bing API etkinliği için günlükleri gözden geçirmeleri, Bing Entegre uygulamalardan veri akışlarını izlemeleri ve bağımlı hizmetlerin önbelleğe alınmış verileri yenilemesini sağlamaları önerilmiştir.
Microsoft, güvenlik açığını “sömürü tespit edilen” bir değerlendirme ile etiketlerken, saldırı kapsamı veya tehdit aktörleri hakkındaki ayrıntılar açıklanmıyor.
Şirket, etkilenen tüm müşterilerin doğrudan bildirimler ve temizleme rehberliği aldığını yineledi.
CVE-2025-21355, karmaşık, birbirine bağlı bulut hizmetlerinin güvence altına alınmada kalıcı zorlukların altını çiziyor.
Sömürü yolu – kritik işlevler için kimlik doğrulama – kurumsal sistemlerde tarihsel güvenlik açıklarını, titiz kod denetimlerine ve katmanlı ağ savunmalarına olan ihtiyacı güçlendirir.
Microsoft, çözülmüş bulut kusurlarını geriye dönük olarak belgelemeye devam ettikçe, kuruluşlar benzer riskleri azaltmak için gerçek zamanlı izlemeye ve sıfır tröst mimarilerini önceliklendirmelidir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here