Şubat 2025 Patch Salı burada ve Microsoft, aktif sömürü altında iki sıfır gün-CVE-2025-21418 ve CVE-2025-21391-dahil olmak üzere 56 güvenlik açığı için düzeltmeler yaptı.
CVE-2025-21418 ve CVE-2025-21391
CVE-2025-21418 Windows uygulamalarının İnternet’e bağlanmasını sağlamak için Windows Sockets API ile arayüz oluşturan Windows Yardımcı İşlev Sürücüsü’nde (AfD.SYS) bir güvenlik açığıdır. Hedef ana bilgisayardaki ayrıcalıkları yükseltmek için saldırganlar tarafından sömürülebilir.
“Kimlik doğrulanmış bir kullanıcının, sistem ayrıcalıklarıyla kod yürütmeye başlayan özel hazırlanmış bir program çalıştırması gerekir. Bu nedenle bu tür hatalar genellikle bir sistemi devralmak için bir kod yürütme hatası ile eşleştirilir ”diyor Trend Micro’nun Sıfır Günü girişiminde tehdit farkındalığı başkanı Dustin Childs.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, 2022’den bu yana, Winsock için yardımcı fonksiyon sürücüsünde dokuz ayrıcalık güvenlik açığı olduğunu ve bunlardan sadece birinin sıfır gün olarak sömürüldüğünü söylüyor (CVE-2024-38193 ).
“Raporlara göre, CVE-2024-38193, Lazarus Grubu olarak bilinen Kuzey Kore APT grubu (Gizli Cobra veya Elmas Squet olarak da bilinir) tarafından Fudmodule rootkit’in yeni bir versiyonunu implante etmek için kullanıldı. uzlaşmış sistemler. Şu anda, CVE-2025-21418’in Lazarus Grubu tarafından da kullanılmadığı belirsiz ”dedi.
CVE-2025-21391 Çeşitli Windows ve Windows Server sürümünde Windows depolama alanını etkiler. Microsoft’a göre, saldırganların yalnızca bir sistemdeki hedeflenen dosyaları silmesine izin verecek ve hizmetin kullanılamamasına yol açabilecek bir ayrıcalık kusuru artışıdır.
Açıkçası, ZDI araştırmacısı Simon Zuckerbraun tarafından tarif edildiği gibi, ayrıcalık artmasına da yol açabilir.
“Geçmişte benzer sorunlar görmüş olsak da, bu tekniğin vahşi doğada ilk kez kullanıldığı görülüyor. Ayrıca, bir sistemi tamamen ele geçirmek için bir kod yürütme hatası ile eşleştirildi, ”diye yorumladı Childs ve kullanıcılara yamayı hızlı bir şekilde test etmelerini ve dağıtmalarını tavsiye etti.
Sökülen iki sıfır günü, CISA’nın bilinen sömürülen güvenlik açıkları kataloğuna eklendi.
Notun diğer güvenlik açıkları
CVE-2025-21194Microsoft Surface dizüstü bilgisayarları etkileyen bir güvenlik açığı güvenlik açığı ve CVE-2025-21377Saldırganlar tarafından kullanıcı olarak kimlik doğrulaması yapmak için kullanılabilecek bir NTLMV2 karma açıklama güvenlik açığı “kamuya açıklanmış” olarak işaretlenmiştir.
Microsoft hakimler, ikincisinin sömürülmesi daha olasıdır. Eylem Başkanı Mike Walters, “Sadece kimlik doğrulaması için Kerberos’a dayanmayan Windows sistemlerini kullanan kuruluşlar risk altındadır” diyor.
CVE-2025-21376çeşitli zayıflıklardan kaynaklanan kritik bir uzaktan kod yürütme güvenlik açığı, savunmasız bir Windows Hafif Dizin Erişim Protokolü (LDAP) sunucusuna özel olarak hazırlanmış bir istek göndererek kimlik doğrulanmamış saldırganlar tarafından kullanılabilir.
Childs, “İlgili bir kullanıcı etkileşimi olmadığından, bu hatayı etkilenen LDAP sunucuları arasında yenilebilir hale getiriyor” dedi. “Microsoft bunu ‘sömürü muhtemel’ olarak listeliyor, bu yüzden bu olası olmasa da, bunu yaklaşmakta olan bir sömürü olarak ele alacağım.”