Microsoft, Internet Information Services (IIS) platformunda, web barındırma için Windows sunucularına güvenen kuruluşlar için risk oluşturan kritik bir uzaktan kod yürütme kusurunu açıkladı.
CVE-2025-59282 olarak izlenen güvenlik açığı, yarış durumu ve serbest kullanımdan sonra kullanım hatasından kaynaklanan, küresel belleği işleyen Gelen Kutusu COM Nesnelerini etkiliyor.
14 Ekim 2025’te duyurulan CVSS 3.1 temel puanı 7,0 olup Microsoft tarafından “Önemli” olarak derecelendirilmiştir.
Güvenlik uzmanları, henüz yaygın olarak kullanılmasa da, keyfi kod yürütme potansiyelinin, saldırganların sunucu bütünlüğünü tehlikeye atmasına, verileri çalmasına veya daha geniş ağ saldırılarına yönelmesine olanak verebileceği konusunda uyarıyor.
Kusur, paylaşılan kaynakların uygun senkronizasyona sahip olmadığı eşzamanlı yürütme sırasında ortaya çıkıyor ve yetkisiz bir saldırganın bellek durumlarını değiştirmesine izin veriyor.
CVE ayrıntılarına göre, istismar yerel erişim gerektiriyor ancak kullanıcıyı kötü amaçlı bir dosyayı açması için kandıran uzaktaki bir saldırgandan kaynaklanabiliyor.
Yüksek saldırı karmaşıklığı kesin bir yarış koşulu kazanmayı gerektirse de, herhangi bir ayrıcalığa gerek yoktur, bu da bunu yetenekli tehdit aktörleri için zorlu ama aynı zamanda mümkün kılar.
Microsoft IIS Güvenlik Açığı
CVE-2025-59282, özünde IIS’nin COM nesne yönetimi içindeki CWE-362 (yarış durumu) ve CWE-416’daki (ücretsiz kullanım) zayıflıklardan yararlanır.
Bir kullanıcı, özel olarak hatalı biçimlendirilmiş bir belge veya komut dosyası gibi hazırlanmış bir dosyayla etkileşime girdiğinde, güvenlik açığı hatalı bellek işlemeyi tetikler.
Bu, serbest bırakılan belleğe aynı anda erişilerek kod enjeksiyonunun etkinleştirildiği bir serbest kullanım sonrası senaryosuna yol açar.
CVSS vektör dizisi CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H temel faktörleri vurgular: yerel saldırı vektörü, yüksek karmaşıklık, gerekli kullanıcı etkileşimi ve gizlilik, bütünlük ve kullanılabilirlik açısından yüksek etkiler.
Microsoft, başlıktaki “uzak” ifadesinin, saldırganın yürütme sitesini değil konumunu ifade ettiğini ve onu tamamen uzaktan istismarlardan ayırdığını açıklıyor.
Hiçbir kavram kanıtı kodu kamuya açıklanmadı, ancak araştırmacılar, saldırganların sistem düzeyinde kontrole geçebileceği geçmiş IIS bellek sorunlarıyla benzerliklere dikkat çekiyor.
Etkilenen sürümler, IIS’nin etkin olduğu Windows Server sürümlerini içerir; ancak Microsoft, ilk önerilerde tam yapıları belirtmemiştir.
Başarılı bir şekilde yararlanma, saldırganların, genellikle yanlış yapılandırılmış sunucularda SİSTEM olarak çalışan, IIS işleminin ayrıcalıklarıyla rastgele kod çalıştırmasına olanak tanıyabilir.
Kurumsal ortamlarda bu durum, hassas web uygulamalarını, veritabanlarını veya API uç noktalarını fidye yazılımı dağıtımına, veri sızıntısına veya yanal harekete maruz bırakabilir.
Örneğin, kurumsal intranetteki güvenliği ihlal edilmiş bir IIS sunucusu, finans veya sağlık sektörlerini hedef alan gelişmiş kalıcı tehditler için bir giriş noktası görevi görebilir.
Microsoft’un MSRC’sinin “Kullanım Olasılığı Yok” değerlendirmesi göz önüne alındığında, acil tehditler düşük kalıyor. Ancak, açıklama zamanında yamaların olmayışı acil güncellemeleri zorunlu kılmaktadır.
Henüz hiçbir güvenlik ihlali göstergesi (IoC) ayrıntılı olarak açıklanmamıştır, ancak IIS günlüklerinde olağandışı COM nesnesi etkileşimlerinin veya bellek anormalliklerinin izlenmesi önerilir.
Azaltmalar
Etkilenmeyen sistemler hiçbir riskle karşılaşmadığından, en basit savunma, kullanılmadığı takdirde IIS’yi devre dışı bırakmaktır. Microsoft, Windows Update aracılığıyla gelecek yamaların uygulanmasını ve dosya yürütme ilkelerinin kısıtlanmasını önerir.
Kullanıcı Hesabı Denetimini (UAC) etkinleştirmek ve COM etkileşimlerini denetlemek savunmayı daha da güçlendirebilir.
HUST’tan Zhiniang Peng ve CyberKunLun’dan R4nger’ın da aralarında bulunduğu güvenlik firması araştırmacıları, sorunun tırmanmasını önlemek için zamanında yama uygulanmasının altını çiziyor.
IIS milyonlarca web sunucusuna güç sağladığı için bu güvenlik açığı, eski bileşenlerde bellek açısından güvenli kodlamaya duyulan ihtiyacın altını çiziyor. Kuruluşlar ortamları taramalı ve web sunucusu yapılandırmalarını derhal incelemelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
