Nisan 2025 Patch Salı burada ve Microsoft, aktif saldırı altında sıfır gün (CVE-2025-29824) dahil 120’den fazla güvenlik açığı için düzeltmeler yaptı.
CVE-2025-29824
CVE-2025-29824, Windows Ortak Günlük Dosyası Sisteminde (CLFS), saldırganlar tarafından daha önce tehlikeye atılan Windows makinelerinde sisteme ayrıcalıklarını yükseltmek için kullanılabilecek ve var olan kullanıcıdan arınmış bir güvenlik açığıdır.
“CLFS Salı günü yamaya yabancı değil-2022’den bu yana, Microsoft her yıl ortalama 10, vahşi doğada sömürülen son CLFS güvenlik açıklarını yamaladı. Vahşi doğada sömürülen son CLFS sıfır gün kusuru (CVE-2024-49138) net, bu kadar CVE-2024-49138), Secutable’da yardım etmeyecekti. CLF’lerde ayrıcalık kusurları, yıllar boyunca fidye yazılımı operatörleri arasında özellikle popüler hale gelmiştir.
Bu kırılganlığın sömürülmesini içeren saldırıların ne kadar yaygın olduğunu bilmiyoruz, sadece Microsoft Tehdit İstihbarat Merkezi’nin kusuru bildirmekle kredilendirildiğini biliyoruz. Yine de, bu yamaya öncelik vermek için yeterli teşvik.
CVE-2025-29824, çeşitli Windows Server ve Windows sürümlerini etkiler ve çoğu için güvenlik güncellemeleri sağlanmıştır. Microsoft, “X64 tabanlı sistemler için Windows 10 ve 32 bit sistemler için Windows 10 için güvenlik güncellemesi hemen mevcut değil” dedi ve güncellemelerin mümkün olan en kısa sürede piyasaya sürüleceğini belirtti.
Impersive Labs baş siber güvenlik mühendisi Ben McCarthy, “Güvenlik güncellemesinin yokluğunda kuruluşlar riski azaltmak için proaktif adımlar atmalıdır” dedi.
“Güvenlik ekiplerine EDR/XDR araçlarını kullanarak CLFS sürücüsünü yakından izlemeleri tavsiye edilir. Bu, CLFS.SYS ile etkileşime giren süreçleri izlemeyi, onun tarafından ortaya çıkmayı veya diğer sürücüler veya bellek alanlarıyla iletişim kurarken anormal davranış göstermeyi içerir.”
Notun diğer güvenlik açıkları
Microsoft, ayrıcalığın yükselmesine (EOP) ve uzaktan kod yürütülmesine (RCE) yol açan bir dizi kusuru düzeltti.
Kritik RCE kusurları arasında CVE-2025-26663 ve CVE-2025-26670, her ikisi de Windows Hafif Dizin Erişim Protokolü’ndeki (LDAP), her ikisi de, kendilerini kullanmak için bir yarış koşulu kazanmak için bir saldırganın (LDAP), hem de özellikle tetiklenebilir bir talepte bulunulabilen bir talepte bulunulmasını gerektiren bir saldırganın Server Sunucusuna gönderilmesini gerektiriyor.
Trend Micro’nun Sıfır Günü Girişimi’nde tehdit bilinci başkanı Dustin Childs, “Hemen hemen her şey bir LDAP hizmetine ev sahipliği yapabileceğinden, orada çok sayıda hedef var. Ve hiçbir kullanıcı etkileşimi söz konusu olmadığından, bu hatalar istenebilir” diyor.
“LDAP, ağ çevrenizden gerçekten izin verilmemeli, ancak tek başına buna güvenmeyin. Windows 10 çalıştırmadığınız sürece bu güncellemeleri hızlı bir şekilde test edin ve dağıtın. Bu yamalar henüz mevcut değil.”
Benzer şekilde, Windows uzak masaüstü hizmetlerinde (RDP) iki RCE güvenlik açığı-CVE-2025-27480 ve CVE-2025-27482, herhangi bir kullanıcı etkileşimi olmadan kullanılabilir, ancak (yetkisiz) saldırgan ilk olarak, uzak masaüstü geçit rolü olan bir sisteme bağlanmalı ve kullanılmaksızın bir yarış koşulunu tetiklemelidir.
Sunulan güvenlik güncellemelerini uygulamanın yanı sıra, kullanıcılar RDP’yi internetten ulaşılamaz hale getirmek için iyi olur veya yalnızca güvenilir IP adreslerinden ulaşılabilir.
Bu sefer sabit olan hatalardan yararlanma olasılığı daha yüksek olanlar arasında da:
- CVE-2025-27472, saldırganların Web’nin Windows işaretinden kaçmasına izin veren bir kusur (MOTW) Bypass savunmaları
- CVE-2025-27727, Windows yükleyicisinde bir EOP kusuru
- CVE-2025-29809, yetkili saldırganların Kerberos (Kimlik Doğrulama) kimlik bilgilerini sızdırmak için Windows Defender kimlik bilgisi koruyucusunu atlamasına izin verebilecek bir güvenlik açığı.
Bunların hiçbiri X64 tabanlı sistemler için Windows 10’da ve 32 bit sistemler için Windows 10’da yamalanmamıştır, ancak bu güvenlik güncellemeleri çalışmalarda ve mümkün olan en kısa sürede piyasaya sürülecek.
Bir Sidenote olarak: Microsoft, Windows Server Güncelleme Hizmetleri (WSUS) sunucularına sürücü güncellemesi senkronizasyonu için desteği sonlandırmayı planladı, ancak fikrini değiştirdi.
Şimdilik, “WSUS, Windows Update Hizmetinden sürücü güncellemelerini senkronize etmeye ve bunları Microsoft Update kataloğundan içe aktarmaya devam edecek” dedi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!