Windows güncelleme yığınında bir güvenlik kusuru tanımlanmış ve milyonlarca Windows sistemlerini yetkisiz kod yürütme ve ayrıcalık artış riskine maruz bırakmıştır.
CVE-2025-21204 olarak izlenen bu güvenlik açığı, yerel saldırganların güvenilir güncelleme süreçlerini manipüle ederek standart güvenlik kontrollerini atlayarak sistem düzeyinde erişim kazanmalarını sağlar.
Sorun, geniş bir Windows 10, Windows 11 ve Windows Server sürümlerini etkiliyor ve bu da onu hem işletme hem de kişisel kullanıcılar için önemli bir tehdit haline getiriyor.
.png
)
Windows Update Stack Güvenlik Açığı-CVE-2025-21204
7.8 (yüksek) CVSS skoru taşıyan güvenlik açığı, Windows Update Stack bileşenlerini, özellikle MousocoreWorker.exe ve USoclient.exe işlemlerini sistem ayrıcalıklarıyla çalışan işlemleri hedefler.
Sofistike teknikler gerektiren karmaşık istismarların aksine, CVE-2025-21204, güvenlik uzmanlarının hafıza yolsuzluğundan yararlanmak yerine güven kötüye kullanarak normal OS davranışına karışan “sessiz ayrıcalık artış kırılganlığı” dediği şeyi temsil eder.
Cyberddy, Siber Güvenlik Haberlerine, “Bu CVE, yol kötüye kullanımında bir masterclass, güvenilir yer yeniden yönlendirme ve yerel bileşenleri kullanarak ayrıcalık yükseltme – kırmızı ekibin sevdiği ve mavi bir takımın korktuğu her şey” dedi.
Saldırı vektörü, Windows Güncelleme yığın işlemlerinin dizin kavşaklarını (NTFS montaj noktaları veya sembolik bağlantılar olarak da bilinir) yanlış takip ettiği ve kullanıcı kontrollü yollardan komut dosyalarını kökenlerini doğrulamadan veya imtiyaz sınırlarını zorlamadan yürüttüğü bir tasarım kusurundan yararlanır.
Sınırlı kullanıcı ayrıcalıklarına sahip bir saldırgan, güvenilir yol C: \ ProgramData \ Microsoft \ Updatestack \ görevlerini kötü amaçlı kod içeren bir konuma yönlendiren bir kavşak oluşturabilir.
Mousocoreworker.exe gibi Windows güncelleme işlemleri planlandığı gibi çalıştırdığında, bu kavşakları saldırgan kontrollü konuma kadar takip ederler ve sistem ayrıcalıklarıyla kötü amaçlı kodu yürütürler.
Bu sömürü tekniği, kod enjeksiyonu veya bellek manipülasyonu gerektirmez, bu da geleneksel güvenlik araçlarını kullanmayı tespit etmeyi özellikle zorlaştırır.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Windows 10 Sürüm 1507 (10.0.10240.0 <10.0.10240.20978), Windows 10 Sürüm 1607 (10.0.14393.0 <10.0.14393.7970), Windows 10 sürüm 1809 (10.0.17763.0 <10.0.17763.7137); Muhtemel desteklenen diğer Windows 10/11 ve Windows Server sürümleri |
| Darbe | Yerel ayrıcalık artış, kod yürütme |
| Önkoşuldan istismar | Saldırgan hedef sistemde yerel erişim ve sınırlı kullanıcı ayrıcalıklarına sahip olmalıdır; Kullanıcı etkileşimi gerekmez |
| CVSS 3.1 puanı | 7.8 (Yüksek) |
Hafifletme
Microsoft’un Nisan 2025 Kümülatif Güncellemesi (KB5055523), güvenlik açığını sistem sürücülerinin kökünde yeni bir klasör oluşturmayı içeren alışılmadık bir hafifletme stratejisi ile ele alıyor: C: \ inetpub.
Tipik olarak İnternet Bilgi Hizmetleri (IIS) ile ilişkili olsa da, bu klasörün görünümü, IIS yüklü olmayan sistemlerde bile kasıtlıdır.
Microsoft’un belirli dizinleri önceden oluşturmak ve güncelleme sürecini sembolik bağlantı saldırılarına karşı sertleştirmek için güvenlik geliştirmesinin bir parçası olarak hizmet vermektedir.
Güvenlik analistleri, Windows güncelleme yığın yollarını hedefleyen şüpheli kavşak yaratımlarına odaklanarak ve Microsoft \ updatestack dizinini içeren alışılmadık dosya işlemlerini izlemeye odaklanarak potansiyel sömürü girişimlerini belirlemek için algılama kuralları geliştirdiler.
Kuruluşlar aşağıdaki hafifletmeleri uygulamalıdır:
- Nisan 2025 güvenlik güncellemelerini hemen uygulayın
- ACL’leri C: \ ProgramData \ Microsoft \ UpdateStack
- Applocker veya Windows Defender Uygulama Kontrolünü (WDAC) kullanarak sembolik bağlantı oluşturmayı önleyin
- IIS yüklü olup olmadığına bakılmaksızın, InetPub dizinlerinde dosya oluşturma etkinliklerini izleyin
Güvenlik açığı, karmaşık hafıza yolsuzluk tekniklerine güvenmek yerine dosya sistemlerine örtük güvenden yararlanan tehdit aktörlerinin artan bir eğilimini örneklendirir.
Güvenlik uzmanları, bu tür “düşük seviyeli” CV’lerin görünüşte daha basit sömürü yöntemlerine rağmen genellikle büyük ölçüde etkileri olduğu konusunda uyarıyorlar.
Bu güvenlik açığı, Microsoft’un Nisan 2025 Patch Salı sürümünde sabitlenmiş 124 diğer CVVE’nin yanında görünür, bunlardan biri (CVE-2025-29824) zaten aktif olarak vahşi doğada kullanılmaktadır.
Araştırmacılar, “Bu CVE sadece bir güvenlik açığı ortaya çıkmıyor, aynı zamanda modern Windows ortamlarında karmaşık ve kırılgan güvenilir yürütme yollarının ne kadar olabileceğini vurguluyor” dedi.
“Saldırganlar için bu düşük gürültülü bir sistem kabuğu. Savunucular için, gerçek dünyada dosya tabanlı LPE’lerin nasıl göründüğüne dair bir plan.”
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy