Microsoft’un İnternet Bilgi Hizmetleri’nde (IIS), saldırganların oturum açmadan rastgele kod çalıştırmasına olanak tanıyan ciddi bir güvenlik açığı keşfedildi.
Güvenlik açığı, IIS Gelen Kutusu COM Nesnelerini etkiler ve paylaşılan belleğin ve serbest bırakılan nesnelerin hatalı işlenmesinden kaynaklanır.
Sunucuya ulaşabilen ve bu kusurdan yararlanabilen saldırganlar, sistemin tam kontrolünü ele geçirebilir, potansiyel olarak verileri çalabilir veya kötü amaçlı yazılım yükleyebilir.
14 Ekim 2025’te Microsoft, IIS Gelen Kutusu COM Nesnelerinde bir uzaktan kod yürütme güvenlik açığını kamuya duyurdu.
Bu kusur CVE-2025-59282 olarak izleniyor ve “Önemli” olarak derecelendiriliyor. Saldırganların IIS süreci bağlamında kod yürütülmesini tetiklemesine olanak tanıyan bir yarış koşulundan ve serbest bırakma sonrası kullanım zayıflığından kaynaklanıyor.
Kimlik doğrulama gerekmediğinden, etkilenen sunucuya ağ erişimi olan, kimliği doğrulanmamış herhangi bir saldırgan bu durumdan yararlanabilir.
Microsoft kendisini CNA (CVE Numaralandırma Yetkilisi) olarak atadı ve hatanın tüm ayrıntılarını sağladı.
Şirket ayrıca önerilen güncellemeleri ve risk azaltma adımlarını özetleyen bir güvenlik bülteni yayınladı. Yöneticilerin, risklerin aşılmasını önlemek için yamaları hemen uygulamaları isteniyor.
Güvenlik Açığı Ayrıntıları
CVE-2025-59282’nin temel nedeni, MITRE tarafından tanımlanan iki spesifik zayıflıkta yatmaktadır:
- CWE-362 (Uygunsuz Senkronizasyonla Paylaşılan Kaynağı Kullanarak Eşzamanlı Yürütme)
- CWE-416 (Ücretsiz Sonra Kullan)
Bu zayıflıklar, belirli genel bellek işlemlerini gerçekleştiren IIS Gelen Kutusu COM Nesneleri’nde ortaya çıkar.
Bir saldırgan özel hazırlanmış istekler gönderdiğinde, nesne oluşturma ve silme zamanlamasını değiştirebilir.
Bu, saldırgan tarafından sağlanan kodun, IIS işleminin yanlışlıkla güvenli olduğuna inandığı bellek bölgelerinde yürütülmesine yol açar.
Microsoft’un kendi CVSS 3.1 değerlendirmesi, temel puanı 7,0 ve geçici puanı 6,1 olarak belirler. Vektör dizisi CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C şeklindedir.
Yüksek etkili ölçümler, kötüye kullanılması durumunda gizlilik, bütünlük ve kullanılabilirliğin tamamen kaybedildiğini gösterir.
Yöneticiler sunucularını gözden geçirmeli ve güvenlik güncellemesini Microsoft’un resmi sitesinden hemen indirmelidir.
Sağlanan yamanın uygulanması yarış durumunu kapatır ve serbest kullanım sonrası hatasını düzeltir. Düzeltme eki uygulanana kadar ağ güvenlik duvarları, bağlantı noktası 80 ve bağlantı noktası 443’e erişimi yalnızca güvenilir ana bilgisayarlarla sınırlayarak maruz kalmayı azaltabilir.
Olağandışı IIS etkinliği için günlüklerin izlenmesi de önerilir. COM nesnelerini hedef alan beklenmeyen istekler veya düzensiz süreç çökmeleri, potansiyel istismar girişimleri olarak değerlendirilmelidir.
| CVE | Güvenlik Açığı | Piyasaya sürülmüş | CNA’nın atanması | Darbe |
| CVE-2025-59282 | İnternet Bilgi Hizmetleri (IIS) Gelen Kutusu COM Nesneleri (Global Bellek) RCE | 14 Eki 2025 | Microsoft | Uzaktan Kod Yürütme |
Ayrıca, web sunucularını gerekli minimum ayrıcalıklarla çalıştırmak, bir saldırganın kod çalıştırmayı başarması durumunda hasarı sınırlayabilir.
Kuruluşlar, güncellemeyi hızlı bir şekilde uygulayarak ve ağ kontrollerini sıkılaştırarak IIS sunucularını bu yüksek riskli kusurdan koruyabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.