Microsoft, 2025 Salı günü beşinci yamada toplam 70’den fazla adreslenebilir ortak güvenlik açığı ve maruziyeti (CVES)-üçüncü taraf sorunları açıklandığında 80’in üzerinde toplam beş yeni sıfır günlük güvenlik açığı için düzeltmeler yayınladı.
Sayısal sırayla, bu ayın sıfır günü aşağıdaki gibidir:
- CVE-2025-30400, Microsoft DWM çekirdek kütüphanesinde ayrıcalık (EOP) güvenlik açığı;
- CVE-2025-30397, komut dosyası yazma motorunda uzaktan kod yürütme (RCE) güvenlik açığına yol açan bir bellek bozulması;
- CVE-2025-32701, Windows Ortak Günlük Dosyası Sistemi Sürücüsünde (CLFS) bir EOP güvenlik açığı;
- CVE-2025-32706, CLF’lerde ikinci bir EOP kusuru;
- CVE-2025-32709, Winsock (AfD.SYS) için Windows Yardımcı İşlev Sürücüsü’nde bir EOP sorunu.
Bu CVES’lerin beşi de Microsoft tarafından vahşi doğada sömürülmüş olarak listelenmiştir, ancak henüz kamuya açıklanmamıştır. Hepsi önemli bir ciddiyete sahip olarak derecelendirilmiştir ve hepsi komut dosyası motoru kusurunu kurtarır.
Patch yönetimi uzmanı Eylem1’in başkanı ve kurucu ortağı Mike Walters, iki CLFS sorununun, hesaplamadaki önemi göz önüne alındığında özellikle tehlikeli olduğunu belirtti-CLFS, hizmetleri kullanıcı ve çekirdek-modu uygulamalarına gündeme getiren kritik bir bileşendir ve çeşitli sistem hizmetleri ve üçüncü taraf uygulamalar tarafından yaygın olarak kullanılır.
Walters, “Bu güvenlik açıklarından yararlanan saldırganlar ayrıcalıkları sistem düzeyine yükselterek, keyfi kod çalıştırmak, kötü amaçlı yazılım yüklemek, verileri değiştirmek veya güvenlik korumalarını devre dışı bırakmak için tam kontrol sağlayabilir” dedi.
“Düşük karmaşıklık ve minimum ayrıcalıklar gerektiğinde, bu kusurlar, özellikle teyit edilen vahşi sömürü göz önüne alındığında ciddi bir risk oluşturmaktadır. [and] Şu anda hiçbir kamu istismarı kodu mevcut olmasa da, aktif saldırıların varlığı, potansiyel olarak gelişmiş kalıcı tehditleri (APT’ler) içeren hedeflenen kampanyaların zaten devam ettiğini göstermektedir.
Walters, “Kuruluşlar potansiyel uzlaşmayı önlemek için bu güvenlik açıklarının derhal değerlendirilmesine ve iyileştirilmesine öncelik vermelidir. Windows sistemlerini işleten herhangi bir kuruluş, hükümet, eğitim veya tüketici sektörleri – maruz kalabilir. Windows’un küresel ayak izi göz önüne alındığında, milyonlarca cihaz risk altındadır” dedi.
CVE-2025-30400, DWM Core Library’deki güvenlik yöneticilerinin yama listelerinde de yüksek olmalıdır, Gözlemlenen Kev Breen, Tehdit Araştırma Kıdemli Müdürü Kev Breen. “Eğer sömürülürse, saldırganların etkilenen ana bilgisayarda sistem düzeyinde izin almasına izin verecekti. Bu ayrıcalık seviyesiyle, saldırganlar, herhangi bir güvenlik aracı ve kullanıcı hesapları da dahil olmak üzere ana bilgisayar üzerinde tam kontrol elde edebilecek ve potansiyel olarak alan düzeyindeki erişimin tehlikeye girmesine izin vereceklerdi.
“Bu CVE, Microsoft ekibi tarafından ‘sömürü tespit edildi’ olarak işaretleniyor, yani fidye yazılımı iştirakleri de dahil olmak üzere tehdit grupları, bu ayrıntıların kamuya açık hale geldiği için hızlı bir şekilde uygulanmalıdır.”
Breen, bu gerçekleştikten sonra, siber ekiplerin ve tehdit avcılarının, tehdit aktörlerinin ölçekli sömürüde başladığı nokta arasında pencereye vurulmadıklarından emin olmak için uzlaşma göstergeleri (IOCS) için sistemlerini gözden geçirmek için hızlı bir şekilde çalışması gerektiğini de sözlerine ekledi.
Breen’in meslektaşı Siber Tehdit İstihbarat Araştırmacısı Ben Hopkins, kuralı geri kalan sömürülen sıfır günler, CVE-20205-30397’nin senaryo motorunda ve CVE-2025-32709’da afd.sys
“Microsoft komut dosyası yazma motoru bellekte nesneleri yanlış kullandığında, bu durumda bir saldırgan tarafından gerçekleştirilen bir ayrıcalık yüksekliğine yol açtığında bir komut dosyası belleği yolsuzluk güvenlik açığı oluşur” diye açıkladı.
“Bu özel güvenlik açığı var… saldırganların bir ağ üzerinden kod yürütmesine izin veren bir kaynağa (‘tip karışıklığı’) erişimi içerir. Bu bağlamda tür karışıklık, bir programın bir parçasını gerçekte olduğundan farklı bir tür olarak yanlış bir şekilde ele aldığında ve bu da haksız kodları yürütmesine izin veren ve hopinleri yürütmesine izin verdiğinde ortaya çıkar” dedi.
Layperson için bu, sistem düzeyinde ayrıcalıklara ulaşan bir tehdit oyuncunun hassas verilere kolayca erişebileceği ve kurbanın ağının diğer, daha değerli kısımlarına dönme fırsatları arayabileceği anlamına gelir.
AFD.sys’i etkileyen soruna dönersek, kullanıcı alanında Winsock’tan (Windows Sockets API) ve çekirdekteki alt seviyeli ağ sürücülerinden köprüleyerek ağ soketi işlemlerini destekleyen bir çekirdek pencere çekirdeği-modu sürücüsü, Hopkins, Hopkins’in dağıtılabileceği belleğin nasıl etkilenebileceği bir durumdan yararlanabileceğini açıkladı. onlara ayrıcalıklarını yükseltme yeteneği vermek.
Her iki durumda da, bunun anlamı, sistem düzeyinde ayrıcalıklara ulaşmış olan bir tehdit oyuncusu, hassas verilere kolayca erişebilir ve kurbanın ağının diğer, daha değerli kısımlarına dönme fırsatları arayabilir.
Bugün (13 Mayıs) iki ilave sıfır gün kamuya açıklanmıştır, ancak henüz yazı sırasında saldırıya uğradığı bildirilmemiştir. Bunlar, Microsoft Defender’da kimlik için bir sahtekarlık güvenlik açığı olan CVE-2025-26685 ve Visual Studio’da bir RCE güvenlik açığı olan CVE-2025-32702’dir. Bunların her ikisi de sırasıyla 6.5 ve 7.8 CVSS skorları taşıyan önemli bir ciddiyetle derecelendirilmiştir.
Uzaktan işçiler hala bir hedef
Son olarak, Mayıs güncellemesi Azure Otomasyonunu, Azure DevOps, Azure Depolama Kaynağı, Microsoft Depolama Kaynağı, Microsoft Msagsfeedback.zureWebsites.net’i etkileyen toplam 11 kritik kusur getiriyor. Microsoft, bu konuların etkisiyle, bu sorunların EOP’den sahte bir taramaya ve altı tanesi RCE’ye yol açtığını söyledi.
Kritik konulardan Walters’ın CEO ve Action1’de kurucu ortağı Alex Vovk, Computer Weekly’ye iki RDP kusurunun özellikle göze çarptığını söyledi. Bunlar CVE-2025-29966 ve CVE-2025-29967 olarak izlenir.
Vovk, “Her iki güvenlik açıkları da uzaktan kod yürütme, tam sistem uzlaşması ve veri ihlalleri gibi kritik riskler oluşturmaktadır” dedi.
“Uzak masaüstü hizmetlerinin geniş bir şekilde benimsenmesi göz önüne alındığında, birçok kuruluş potansiyel olarak maruz kalmaktadır. CVE-2025-29966 ve CVE-2025-29967, uzaktan erişim ortamlarında hem istemci hem de sunucu bileşenlerini güvence altına almak için acil ihtiyacın altını çizmektedir.”