Microsoft, Ocak 2025 Yamasını Salı günü çok sayıda yamayla kutladı: Çeşitli ürünlerde 157 CVE numaralı güvenlik sorunu düzeltildi ve bunlardan üçü (Hyper-V’de) aktif olarak yararlanılıyor.
İstismar edilen Hyper-V güvenlik açıkları
İstismar edilen sıfır günler CVE-2025-21333 (arabellek taşması hatası), CVE-2025-21334 ve CVE-2025-21335’tir (ücretsiz kusurlardan sonra kullanın) ve bunların tümü, saldırganların güvenliği ihlal edilmiş Windows’ta ayrıcalıklarını SİSTEM’e yükseltmelerine olanak tanır. ve Windows Server makineleri.
Windows Hyper-V’nin NT Çekirdeğinin, sanal makineler ile ana bilgisayar işletim sistemi arasındaki iletişimi yöneten bir bileşenini etkilerler.
“Yama Salı’da sıfır gün olarak vahşi ortamda istismar edilen pek çok ayrıcalık yükseltme hatası görüyoruz, çünkü saldırganlar için bir sisteme ilk erişim her zaman zorlayıcı olmuyor çünkü onların peşinde çeşitli yollar var. Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, daha büyük zorluk, ilk sistem erişimini sağladıktan sonra daha ayrıcalıklı erişim elde edebilmektir” diyor.
Ne yazık ki Microsoft, yamalı kusurlarının yaygın olarak kullanılmasına ilişkin ayrıntılara yer vermiyor.
Ancak Action1 Başkanı Mike Walters’ın da belirttiği gibi, “veri merkezleri, bulut sağlayıcıları, kurumsal BT ortamları ve geliştirme platformları da dahil olmak üzere Hyper-V’ye güvenen kuruluşlar risk altındadır. Düşük ayrıcalıklara sahip bir saldırgan, SİSTEM ayrıcalıklarıyla kod çalıştırarak ana bilgisayar sistemi üzerinde kontrol sahibi olabilir.”
Dikkat edilmesi gereken diğer güvenlik açıkları
Kamuya açıklanan hatalar arasında, bir veritabanı yönetim sistemi olan Microsoft Access’i etkileyen ve uzaktan kod yürütülmesine yol açabilecek üç (CVE-2025-21186, CVE-2025-21366, CVE-2025-21395) yer alıyor. Kullanıcı etkileşimi gerektirirler (örneğin, kötü amaçlı uzantıya sahip bir dosyayı açmak) ancak sağlanan güncellemeler, e-posta eki olarak gönderilmeleri halinde bunları engelleyecektir.
Bunların kötüye kullanılması “daha az olası” olarak değerlendiriliyor ve Microsoft Office Uzun Süreli Hizmet Kanalı, Microsoft Office 2019 ve Kurumlar için Microsoft 365 Uygulamalarının en son şirket içi sürümleri olan Microsoft Access 2016’da düzeltildi.
“Bu güvenlik açıklarını en ilginç kılan şey, bunların Unpatched.ai adlı bir platforma atfedildiği için yapay zeka kullanılarak keşfedilmiş olmalarıdır. Unpatched.ai ayrıca Aralık 2024 Salı Yaması sürümünde (CVE-2024-49142) bir kusur keşfetmesiyle de tanındı,” dedi Narang Help Net Security’ye.
“Yapay zeka kullanılarak otomatik güvenlik açığı tespiti son zamanlarda büyük ilgi topladı, bu nedenle bu hizmetin Microsoft ürünlerindeki hataları bulma konusunda itibar görmesi dikkate değer. Bu, 2025’teki pek çok şeyin ilki olabilir.”
Düzeltilen, istismar edilmesi “daha muhtemel” kusurlar arasında, saldırganların MapUrlToZone Windows API işlevine dayanarak güvenlik özelliklerini atlamalarına olanak tanıyan güvenlik açıkları, RCE’ye yol açabilecek Excel ve Office kusurları ve kritik bir Windows OLE RCE kusuru yer almaktadır ( CVE-2025-21298) özel hazırlanmış RTF dosyalarıyla tetiklenebilir.
“Azaltıcı bir önlem olarak, Outlook’u tüm standart postaları düz metin olarak okuyacak şekilde ayarlayabilirsiniz, ancak kullanıcılar muhtemelen böyle bir ayara isyan edeceklerdir. Trend Micro’nun Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs, “En iyi seçenek bu yamayı hızlı bir şekilde test edip dağıtmaktır” dedi.
Windows’un tam disk şifreleme özelliği olan Bitlocker’da (Microsoft’a göre) istismar edilme olasılığı daha yüksek olan ilginç bir güvenlik açığı (CVE-2025-21210) bulundu.
Microsoft, “Bu güvenlik açığından yararlanılması, şifrelenmemiş hazırda bekletme görüntülerinin açık metin olarak ifşa edilmesine izin verebilir” dedi.
“Hazırda bekletme görüntüleri, bir dizüstü bilgisayar uyku moduna geçtiğinde kullanılır ve cihazın kapatıldığı anda RAM’de depolanan içeriği içerir. Bu, RAM’in açık belgelerde veya tarayıcı oturumlarında bulunabilecek hassas verileri (şifreler, kimlik bilgileri ve PII gibi) içerebileceğinden ve bunların tamamının hazırda bekletme dosyalarından ücretsiz araçlarla kurtarılabileceğinden önemli bir potansiyel etki sunuyor.” Kevin Breen, Tehdit Kıdemli Direktörü Immersive Labs’deki araştırma Help Net Security’ye söyledi.
“Ayrıca, Bitlocker anahtarlarının RAM’den kurtarılabilmesi ve hazırda bekletme dosyalarında yakalanabilmesi de endişe verici; yine, Bitlocker anahtarlarını hazırda bekletme dosyalarından kurtarmak için ücretsiz araçlar mevcut.”
Ancak saldırganların bundan yararlanabilmesi için kurban makinenin sabit diskine tekrar tekrar fiziksel erişime sahip olması gerekir.
Dizüstü bilgisayar hırsızları bu kusurdan yararlanmak isteyebilir ancak bunu yapmaları pek mümkün değildir: Saldırı karmaşıklığı yüksektir ve genellikle başka şeylerin peşindedirler. Belirli yüksek profilli hedeflerin (casuslar veya kripto para hırsızları) peşine düşen tehdit aktörleri bunu kullanabilir, ancak hassas verileri ele geçirmenin kesinlikle daha kolay yolları vardır. Benim düşünceme göre, eğer tetiklemenin bir yolunu bulabilirlerse kolluk kuvvetlerinin bunu yararlı bulma ihtimali en yüksek olan grup olarak kalıyor.
Yine de Breen’in tavsiye ettiği gibi, “hassas verilere sahip kullanıcılarınız sık sık seyahat ediyorsa, o zaman bu yama için yüksek öncelik vermelisiniz.”