Microsoft “Badsuccessor” Kerberos Güvenlik Açığı (CVE-2025-53779)


Ağustos 2025 Patch Salı günü, Microsoft, Windows Kerberos’taki göreceli bir yol geçiş kusuru da dahil olmak üzere çeşitli çözümlerinde 100+ güvenlik açığını çözen güvenlik güncellemeleri yayınladı (CVE-2025-53779) yetkili bir saldırganın, kötü bir saldırgan saldırının bir parçası olarak bir ağ üzerindeki ayrıcalıkları yükseltmesine izin verir.

Patch Salı Badsuccessor CVE-2025-53779

Akamai araştırmacısı Yuval Gordon tarafından keşfedilen güvenlik açığı, Windows Server 2025’te tanıtılan ve Active Directory’deki (AD) herhangi bir kullanıcıyı tehlikeye atmak için kullanılabilen Delegedilmiş Yönetilen Hizmet Hesabı (DMSA) özelliğinden yararlanır.

Microsoft, “Bu güvenlik açığını başarıyla kullanan bir saldırgan, alan yöneticisi ayrıcalıkları kazanabilir” dedi.

Güvenlik açığı aylardır bilinse de, şu anda vahşi doğada sömürüldüğüne dair bir gösterge yoktur. Microsoft, sömürü olasılığını “daha az olası” olarak derecelendirir ve sonuç olarak bu güvenlik güncellemesinin acilen dağıtılması için kritik olduğunu düşünmemektedir.

Tenable kıdemli personel araştırma mühendisi Satnam Narang, “Badsuccessor’dan yararlanmak için, bir saldırganın, etki alanı uzlaşmasını sağlamak için Windows Server 2025’i çalıştıran bir alanda en az bir etki alanı denetleyicisine sahip olması gerekir.

Ayrıca, AD alanlarının sadece% 0,7’si açıklama sırasında ön koşulla karşılaştığından, kusurun acil etkisinin sınırlı olduğunu belirtti.

Hızlı bir şekilde çözmeniz gereken güvenlik açıkları

“Geçen ayın ‘araç kepçe’ sıfır günlerinin (CVE-2025-53770 ve CVE-2025-53771), organizasyonları kime doğrulanmamış RCE istismarları aracılığıyla tahrip eden Microsoft [has patched] Bir başka önemli seans hatası hatası: CVE-2025-49712”Diyor Qualys Tehdit Araştırma Birimi ile Güvenlik Araştırma Kıdemli Müdürü Saeed Abbasi.

“Bu RCE kimlik doğrulaması gerektirir, ancak bilinen kimlikatör bypass’larla tehlikeli bir şekilde eşleşir. Önceki kusurlarla zincirleme yapan saldırganlar tam sunucu uzlaşmasına ve veri açığa çıkabilir. Henüz vahşi doğada sömürülmez, ancak tarih bu gelişmekte olan hızlı hızlı ve maruz kalan sharePoint örneklerinin yanal hareket için en önemli ve yamalaşma olduğunu gösterir. SharePoint’in istismar çizgisi bitmediğinden düzenleyici inceleme ve ihlaller bitmedi. ”

Trend Micro’nun Sıfır Günü girişiminde tehdit farkındalığı başkanı Dustin Childs, bayraklandı CVE-2025-53731 Ve CVE-2025-53740iki Microsoft Office RCE güvenlik açıkları, daha sonra değil, daha erken ele alınması gereken önemlidir.

“Bu, en az bir ofis bileşeninin önizleme bölmesinden kod yürütülmesine izin verdiği üst üste yedinci aydır. Çok fazla farklı bileşen etkilenen, bunların hepsi yama baypasları olduğundan şüpheliyim. Bunun yerine, saldırganların çok fazla bakılmayan ve bazı taşlar bulmayan madencilik kodu olduğu anlaşılıyor. Belki de Redmond’da güvenlik cadı için önizlemeyi düşünmenin zamanı geldi”.

CVE-2025-53766Windows GDI+ ‘da yığın tabanlı bir arabellek taşması (2D grafik, resim ve metin oluşturma için Windows’ta kullanılan bir grafik API), yetkisiz bir saldırganın bir ağ üzerinden kod yürütmesine izin verir.

“Bir saldırgan, bir kurbanı özel olarak hazırlanmış bir metafile içeren bir belge indirmeye ve açmaya ikna ederek bu güvenlik açığını tetikleyebilir. En kötü senaryoda, bir saldırgan, kullanıcı etkileşimi olmadan özel olarak hazırlanmış bir metafle içeren belgeleri yükleyerek web hizmetlerinde bu güvenlik açığını tetikleyebilir” diye açıkladı (yine de kusurlu olarak daha az göz ardı edilir).

Childs böyle bir en kötü senaryo örneği verdi: kullanıcılara sunulan bir reklam ağı üzerinden bir şey yükleyen bir saldırgan.

“Reklam engelleyicileri sadece rahatsızlıkları ortadan kaldırmak içindir; aynı zamanda kötü amaçlı reklamlar için de korunurlar. Nadirdirler, ancak geçmişte meydana gelmiştir. GDI+ çok farklı bileşene dokunduğundan (ve kullanıcılar herhangi bir şeyi tıklama eğilimindedir), bunu hızlı bir şekilde test eder ve dağıtır” diye tavsiye etti.

Diğer taraftan, CVE-2025-53778düşük saldırı karmaşıklığına sahip bir ayrıcalık kırılganlığının kimlik doğrulamalı bir Windows NTLM yükselmesi, Microsoft tarafından sömürülme olasılığı daha yüksektir ve daha sonra değil, daha erken ele alınmalıdır.

Son olarak, Microsoft Exchange’in melez bir dağıtımını yürütüyorsanız, çözmek için harekete geçmeyen (hala birçok kişiye) kurulmadığınızı kontrol ettiğinizden emin olun. CVE-2025-53786CISA’yı acil bir direktif ve bunun nasıl ele alınacağı konusunda rehberlik yapmaya iten ciddi bir ayrıcalık kusuru.

Ben McCarthy, kurşun cyber güvenlik mühendisinde, “CVE-2025-53786 başarılı bir şekilde istismar son derece yıkıcı olacaktır. Bir saldırganın, tehlikeye atılmış bir şirket içi sunucusundan doğrudan bir kuruluşun bulut ortamına dönmesi için bir köprüden yararlanıyor ve Potansiyel olarak çevrimiçi ve diğer bağlı Microsoft 365 hizmetleri üzerinde idari kontrol kazanıyor” diyor.

Bundan yararlanan bir saldırının standart denetim günlüklerinde tespit edilmesi zor olurdu, belirtti ve bu güvenlik deliğini tıkamanın sadece bir yama takmaktan daha fazlasını gerektirdiğini belirtti.

“Yöneticiler ayrıca, hibrid bağlantısı için özel bir hizmet prensibi oluşturmak için Microsoft’un manuel yapılandırma adımlarını da izlemelidir. Bu, aşırı izin veren paylaşılan güveni bozar ve şirket içi sunucunun yalnızca ihtiyaç duyduğu sınırlı izinlere sahip olmasını sağlar” diye açıkladı.

En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!



Source link