Microsoft, Windows Server Update Services’ta (WSUS) yaygın olarak kullanıldığı bildirilen bir uzaktan kod yürütme güvenlik açığı olan CVE-2025-59287’yi “kapsamlı bir şekilde” gideren bant dışı bir güvenlik güncelleştirmesi yayımladı.
CVE-2025-59287 Hakkında
WSUS, kuruluşların Microsoft güncellemelerini birden fazla bilgisayara yönetmesine ve dağıtmasına yardımcı olan bir araçtır.
Her bilgisayarın Microsoft’un sunucularından güncellemeleri indirmesi yerine, WSUS güncellemeleri indirip saklar ve ardından bunları ağ üzerinde kendisine bağlanan tüm bilgisayarlara dağıtır.
CVE-2025-59287, yetkisiz bir saldırganın WSUS sunucusuna özel hazırlanmış bir olay göndererek güvenlik açığı bulunan makinelerde kod yürütmesine olanak tanıyan, güvenilmeyen veri güvenlik açığının kritik bir seri durumdan çıkarılmasıdır. Tetiklemek için hiçbir kullanıcı etkileşimi gerekmez.
Microsoft, güvenlik açığının yalnızca WSUS Sunucu rolünün etkin olduğu Windows Server makinelerini etkilediğini ve varsayılan olarak etkin olmadığını belirtti.
Şirket, Ekim 2025 Yaması Salı günü kusura yönelik bir düzeltme yayınladı ve Trend Micro’nun Sıfır Gün Girişimi tehdit farkındalığı başkanı Dustin Childs, etkilenen WSUS sunucuları ve WSUS sunucuları arasındaki güvenlik açığının çözülebilir olması ve çekici bir hedef olması nedeniyle yöneticilere bunu hızlı bir şekilde uygulamalarını tavsiye etti.
Görünüşe göre düzeltme kapsamlı değildi, bu nedenle Microsoft şimdi ek bir güncelleme yayınladı.
Halka açık bir PoC ve vahşi kullanım raporları
Ağ düzgün yapılandırılmışsa (yani WSUS bir güvenlik duvarı arkasında çalıştırılıyorsa), CVE-2025-59287’nin internetten yararlanılması mümkün olmamalıdır.
Ancak Alman Federal Bilgi Güvenliği Dairesi’nin (BSI) işaret ettiği gibi, bir saldırgan zaten dahili ağa erişim sağladıysa veya çevre güvenlik duvarı yanlış yapılandırılmışsa, güvenlik açığı, WSUS sunucusunun tam kontrolünü ele geçirmek ve saldırıyı diğer hizmetlere genişletmek için kullanılabilir.
Güvenliği ihlal edilmiş WSUS sunucuları, örneğin kötü amaçlı güncellemeleri istemci cihazlara dağıtmak için kullanılabilir.
Bir güvenlik araştırmacısının bu haftanın başında CVE-2025-59287’nin teknik özetini ve kavram kanıtı yararlanma kodunu yayınlamasıyla bu güncelleştirmeyi yüklemenin aciliyeti arttı.
Ayrıca Hollanda Ulusal Siber Güvenlik Merkezi bugün “güvenilir bir ortaktan güvenlik açığının kötüye kullanımının (…) 24 Ekim 2025’te gözlemlendiğini öğrendiği” konusunda uyardı.
WSUS’yi güncelleyin veya devre dışı bırakın
Bu bant dışı güncelleme, desteklenen tüm Windows Server sürümleri için sağlanmıştır ve güncelleştirildikten sonra sistemlerin yeniden başlatılması gerekecektir.
Güncelleme hemen uygulanamazsa yöneticiler WSUS sunucu rolünü geçici olarak devre dışı bırakabilir veya ana bilgisayar güvenlik duvarındaki 8530 ve 8531 numaralı Bağlantı Noktalarına gelen trafiği engelleyerek WSUS’yi çalışmaz hale getirebilir. Elbette bu aynı zamanda istemcilerin artık sunucudan güncelleme almayacağı anlamına da geliyor.
Microsoft, “Bu toplu bir güncelleştirmedir, dolayısıyla bu güncelleştirmeyi yüklemeden önce önceki güncelleştirmeleri uygulamanıza gerek yoktur, çünkü etkilenen sürümler için önceki tüm güncelleştirmelerin yerine geçer. Ekim 2025 Windows güvenlik güncelleştirmesini henüz yüklemediyseniz bunun yerine bu OOB güncelleştirmesini uygulamanızı öneririz” diye ekledi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!