Microsoft, saldırganların kimlik bilgilerini taklit etmesine ve Microsoft hesaplarına yetkisiz erişim elde etmesine izin verebilecek kritik bir kimlik doğrulama bypass güvenlik açığı olan CVE-2025-21396 için bir güvenlik danışmanlığı yayınladı.
Siber güvenlik uzmanları, kullanıcıları ve kuruluşları, ilgili güncellemeleri uygulayarak ve Microsoft’un rehberliğini takip ederek bu sorunu hızla ele almaya çağırıyor.
Güvenlik açığı, yetersiz veya kusurlu validasyon yöntemlerine dayanan kimlik doğrulama mekanizmalarını etkileyen iyi belgelenmiş bir zayıflık olan CWE-290, kimlik doğrulama ile kimlik doğrulama baypasıyla bağlantılıdır.
Bu kusur, özellikle IP adresleri veya DNS adları gibi kaynaklara güvenin yerleştirildiği sistemleri etkileyebilir ve her ikisi de saldırganların manipülasyonuna duyarlıdır.
Teknik Ayrıntılar: CVE-2025-21396
Kimlik Doğrulama Bypass, sahte bir saldırganın yanlış kimlik bilgileri sunarak veya kimlik doğrulama parametrelerini manipüle ederek sistemi doğrulanmış bir kullanıcı olarak kabul etmesi için kandırabileceği bir senaryo tanımlar. Aşağıda teknik özellikler:
Güvenlik açığının doğası
Sorun, gelen istekleri sağlam bir şekilde doğrulamayan yanlış tasarlanmış kimlik doğrulama mekanizmalarından kaynaklanmaktadır. İstismarlar şunları içerebilir:
- IP sahte: Saldırgan, güvenilir bir sistemi taklit etmek için kaynak IP adresini oluşturur.
- DNS Sahtekarlığı: DNS önbelleğinin zehirlenmesi, saldırgan kontrollü bir alan adını meşru olarak sunmak için.
- Hatalı veya manipüle edilmiş istekler: Uygulama katmanı protokollerinde zayıf doğrulama mantığından yararlanma.
Saldırı Vektörü Örnekleri
Bu güvenlik açığından yararlanan saldırganlar:
- IP adresi tabanlı kaynak doğrulamasının kullanımı.
Java’da örnek:
String sourceIP = request.getRemoteAddr();
if (sourceIP != null && sourceIP.equals(APPROVED_IP)) {
authenticated = true;
} Bu durumda, IP adresini sahtekarlık yapan bir saldırgan kimlik doğrulamasını atlayabilir.
- DNS tabanlı ana bilgisayar doğrulaması, saldırganın yanlış bir güven duygusu yaratmak için DNS yanıtlarını manipüle ettiği yerdir.
C’de örnek:
struct hostent *hp;
struct in_addr myaddr;
char *tHost = "trustme.example.com";
myaddr.s_addr = inet_addr(ip_addr_string);
hp = gethostbyaddr((char *)&myaddr, sizeof(struct in_addr), AF_INET);
if (hp && !strncmp(hp->h_name, tHost, sizeof(tHost))) {
trusted = true;
}DNS önbelleğini zehirleyen bir saldırgan, güvenilir bir kaynağı taklit etmek için bunu kullanabilir.
Belirli senaryolarda IP sahte veya DNS önbellek zehirlenmesi gerçekleştirme kolaylığı nedeniyle, bu güvenlik açığı yüksek bir sömürü olasılığı olarak kategorize edilir.
Rehberlik ve azaltma
Microsoft, CVE-2025-21396’nın temel nedenini ele alan yamalar yayınladı. Müşterilere aşağıdaki önleyici adımları atmaları tavsiye edilir:
- Güvenlik güncellemelerini uygulayın: İşletim sistemlerini ve yazılımlarını en son sürümlere düzenli olarak güncelleyin. Belirli talimatlar için Microsoft Güvenlik Güncelleme Kılavuzu’nu kontrol edin.
- Daha güçlü kimlik doğrulama mekanizmaları benimseyin: Güven mekanizmaları için yalnızca IP adreslerine veya DNS adlarına güvenmekten kaçının. Bunun yerine, çok faktörlü kimlik doğrulama (MFA), kimlik doğrulaması için kriptografik jetonlar, güvenli bağlantılar için karşılıklı TL’ler gibi güvenli alternatifler kullanın.
- Anomaliler için ağları izleyin: Sahtekâr paketleri veya olağandışı DNS davranışını tanımlamak için saldırı algılama sistemlerini (IDS) ayarlayın.
- Harden DNS Altyapısı: DNS sahtekarlığı risklerini azaltmak için DNSSEC uygulayın.
- Günlüğe kaydetmeyi etkinleştirin: Sömürü girişimleri durumunda adli analiz için ayrıntılı kimlik doğrulama girişimlerinin gündeliklerini koruyun.
“Microsoft bu güvenlik açığını tamamen azalttı. Bu hizmetin kullanıcılarının yapması için herhangi bir işlem yoktur. Bu CVE’nin amacı daha fazla şeffaflık sağlamaktır. ” Microsoft ifadesi.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free