Microsoft’un Ocak güncellemesi, üçü saldırganların aktif olarak kullandığı sekiz sıfır gün hatası da dahil olmak üzere rekor sayıda 159 güvenlik açığına yönelik yamalar içeriyor.
güncelleme Microsoft’un şimdiye kadarki en büyüğüdür ve aynı zamanda şirketin bir yapay zeka (AI) platformu tarafından keşfedildiğini söylediği üç hatayı içermesiyle de dikkate değerdir.
Microsoft, bu hafta açıklanan güvenlik açıklarından 10’unu kritik önemde, geri kalanlarını ise düzeltilmesi gereken önemli hatalar olarak değerlendirdi. Her zaman olduğu gibi yamalar, Windows İşletim Sistemi, Microsoft Office, .NET, Azure, Kerberos ve Windows Hyper-V dahil olmak üzere çok çeşitli Microsoft teknolojilerindeki güvenlik açıklarını ele alıyor. Bunlar arasında 20’den fazla uzaktan kod yürütme (RCE) güvenlik açığı, neredeyse aynı sayıda ayrıcalık yükseltme hatası ve çeşitli diğer hizmet reddi kusurları, güvenlik atlama sorunları ve sahtecilik ve bilgilerin ifşa edilmesi güvenlik açıkları yer alıyor.
Hemen Düzeltilmesi Gereken Üç Güvenlik Açığı
Birçok güvenlik araştırmacısı, bu ayki güncellemede aktif olarak yararlanılan üç hatanın acil müdahale edilmesi gereken güvenlik açıkları olduğunu belirtti. Olarak tanımlanan güvenlik açıkları CVE-2025-21335, CVE-2025-21333Ve CVE-2025-21334, Windows Hyper-V’nin NT Çekirdeğinin bir bileşenindeki tüm ayrıcalık yükseltme sorunlarıdır. Saldırganlar, etkilenen sistemlerde sistem düzeyinde ayrıcalıklar elde etmek için bu hatayı nispeten kolay bir şekilde ve minimum izinlerle kullanabilirler.
Microsoft, üç hatanın her birine CVSS ölçeğinde 10 üzerinden 7,8 gibi nispeten orta şiddette bir puan atadı. Ancak saldırganların zaten bu hatadan yararlanıyor olması, kuruluşların bu hatayı düzeltmeyi geciktirmeyi göze alamayacağı anlamına geliyor. Immersive Labs tehdit araştırması kıdemli direktörü Kev Breen, e-postayla gönderilen yorumlarda “7,8 gibi nispeten düşük CVSS puanlarına aldanmayın” dedi. “Hyper-V, modern Windows 11 işletim sistemlerine büyük ölçüde yerleştirilmiştir ve bir dizi güvenlik görevi için kullanılır.”
Microsoft, saldırganların güvenlik açıklarından nasıl yararlandığına ilişkin herhangi bir ayrıntı yayınlamadı. Ancak araştırmacılara göre tehdit aktörleri, hedef ortama ilk erişim sağladıktan sonra ayrıcalıkları artırmak için bunu kullanıyor olabilir. Araştırmacılar, “Uygun koruma önlemleri olmadığında, bu tür güvenlik açıkları konuktan ana bilgisayara tam anlamıyla devralınmaya dönüşerek sanal ortamınızda önemli güvenlik riskleri oluşturur.” Automox yazdı bu hafta bir blog yazısında.
Kamuya Açıklanan Ancak Henüz Kullanılmayan Beş Sıfır Gün
Microsoft’un Ocak ayı güncellemesinde yamaladığı geri kalan beş sıfır günün tamamı, daha önce açıklanan ancak saldırganların henüz yararlanamadığı hatalardır. Hatalardan üçü uzaktan kod yürütülmesine olanak tanıyor ve Microsoft Access’i etkiliyor: CVE-2025-21186 (CVSS:7.8/10), CVE-2025-21366 (CVSS: 7,8/10) ve CVE-2025-21395. Microsoft’un kredilendirdiği yapay zeka tabanlı güvenlik açığı avcılığı platformu yamasız.ai hataları bulmak için. Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, e-postayla gönderilen yorumlarda şunları yazdı: “Yapay zeka kullanılarak otomatik güvenlik açığı tespiti son zamanlarda çok fazla ilgi topladı, bu nedenle bu hizmetin Microsoft ürünlerindeki hataları bulma konusunda takdir edildiğini görmek dikkate değer.” “Bu, 2025’teki pek çok şeyin ilki olabilir.”
Microsoft’un Ocak ayı güvenlik güncelleştirmesinde kamuya açıklanan ancak henüz yararlanılmayan diğer iki sıfır gün: CVE-2025-21275 (CVSS: 7.8/10) Windows Uygulama Paketi Yükleyicisinde Ve CVE-2025-21308 Windows Temaları’nda. Her ikisi de ayrıcalıkların SİSTEM’e yükseltilmesini sağlar ve bu nedenle düzeltilmesi gereken yüksek öncelikli hatalardır.
Diğer Kritik Vulnlar
Sıfır günlerin yanı sıra, en son grupta yüksek öncelikli dikkat gerektiren başka bazı güvenlik açıkları da bulunmaktadır. Listenin en üstüne yakın bir yerde, Microsoft’un 10 üzerinden 9,8’lik maksimum CVSS puanlarına yakın atadığı üç CVE yer alıyor: CVE-2025-21311 birden çok Windows sürümünde Windows NTLMv1’de; CVE-2025-21307Windows Güvenilir Çok Noktaya Yayın Aktarım Sürücüsünde kimliği doğrulanmamış bir RCE kusuru; Ve CVE-2025-21298Windows OLE’de rastgele kod yürütme güvenlik açığı.
Immersive Labs siber güvenlik mühendisi Ben Hopkins’e göre Microsoft, sunduğu ciddi risk nedeniyle muhtemelen CVE-2025-21311’i kritik olarak değerlendirdi. E-postayla gönderilen yorumlarında “Bu güvenlik açığını bu kadar etkili kılan şey, uzaktan yararlanılabilir olması, böylece saldırganların ele geçirilen makinelere İnternet üzerinden ulaşabilmesidir” diye yazdı. “Saldırganın herhangi bir savunmasız bileşende aynı yük ile tekrarlanabilir başarı elde etmek için önemli bir bilgi veya beceriye ihtiyacı yoktur.”
Bu arada CVE-2025-21307, Pragmatik Genel Çok Noktaya Yayın (PGM) çok noktaya yayın aktarım protokolünü kullanan kuruluşları etkileyen, boş kalan bir bellek bozulması hatasıdır. Immersive Labs siber güvenlik mühendisi Ben McCarthy, e-postayla yaptığı yorumda böyle bir ortamda, kimliği doğrulanmamış bir saldırganın güvenlik açığını tetiklemek için yalnızca sunucuya kötü amaçlı bir paket göndermesinin yeterli olduğunu yazdı. McCarthy, güvenlik açığına başarılı bir şekilde saldıran saldırganların, etkilenen sistemlere çekirdek düzeyinde erişim elde edebileceğini, bunun da protokolü kullanan kuruluşların kusur için Microsoft’un yamasını derhal uygulaması gerektiği anlamına geldiğini ekledi.
Fortra Güvenlik Ar-Ge Direktörü Tyler Reguly, üçüncü 9,8 önem derecesine sahip hata olan CVE-2025-21298’i, bir saldırganın muhtemelen ağ yerine e-posta yoluyla yararlanabileceği bir RCE kusuru olarak tanımladı. E-postayla gönderilen yorumlarda, “Microsoft Outlook önizleme bölmesi geçerli bir saldırı vektörüdür ve bu, buna uzaktan saldırı demeye elverişlidir. Bunun gibi güvenlik açıklarından kaçınmak için tüm e-postaları düz metin olarak okumayı düşünün” dedi.
Microsoft’un Ocak 2025 güncellemesi, şirketin yalnızca 49 CVE’yi açıkladığı Ocak 2024 güncellemesiyle tam bir tezat oluşturuyor. Gelen verilere göre Automox, şirket, Nisan 2024’te 150, Temmuz’da ise 142 CVE için yama yayınladı.