Microsoft, Windows Server Update Services’taki (WSUS) ciddi bir uzaktan kod yürütme (RCE) güvenlik açığını gidermek için acil bir bant dışı güvenlik güncelleştirmesi yayımladı. CVE-2025-59287 olarak takip edilen kusur, BT altyapılarında Windows güncellemelerini yönetmek için WSUS kullanan kuruluşlar için doğrudan risk oluşturuyor.
CVE-2025-59287 Güvenlik Açığı’na Genel Bakış
CWE-502: Güvenilmeyen Verilerin Seri Durumundan Çıkarılması durumu olarak tanımlanan güvenlik açığı, WSUS’nin güvenilmeyen nesnelerin seri durumundan uygun olmayan şekilde kaldırılması durumunda ortaya çıkar. Uzaktaki, kimliği doğrulanmamış bir saldırgan, WSUS hizmetine özel hazırlanmış bir istek göndererek bu kusurdan yararlanabilir.
WSUS genellikle SYSTEM hesabı altında çalıştığından, başarılı bir şekilde yararlanma, saldırganın en yüksek ayrıcalıklarla rastgele kod çalıştırmasına ve hedeflenen sistemin tam kontrolünü etkili bir şekilde ele geçirmesine olanak tanır.
Microsoft, kusuru CVSS 3.1 temel puanı 9,8 ile Kritik olarak derecelendirdi. Saldırı vektörü ağ tabanlıdır, kimlik doğrulama veya kullanıcı etkileşimi gerektirmez ve düşük karmaşıklığa sahiptir. Güvenlik açığının kapsamı, gizliliği, bütünlüğü ve kullanılabilirliği üzerindeki etkilerin tümü yüksek olarak sınıflandırılmıştır. Microsoft ayrıca istismarı “Daha Olası” olarak değerlendirdi ve yöneticilerin etkilenen sistemlere hemen yama yapma zorunluluğunu artırdı.
Etkilenen Sürümler
RCE güvenlik açığı, Windows Server’ın aşağıdakiler de dahil olmak üzere desteklenen çeşitli sürümlerini etkiler:
- Windows Server 2012 ve 2012 R2
- Windows Sunucusu 2016
- Windows Sunucusu 2019
- Windows Server 2022 (23H2 Sunucu Çekirdeği sürümü dahil)
- Windows Sunucusu 2025
Varsayılan olarak WSUS sunucu rolü Windows Server yüklemelerinde etkin değildir. Ancak, etkinleştirildikten sonra yama uygulanmamış sunucular istismara karşı savunmasız hale gelir. Microsoft, WSUS rolü etkinleştirilmemiş sunucuların CVE-2025-59287’den etkilenmediğini vurguluyor.
Keşif ve Yama Uygulama Zaman Çizelgesi
Güvenlik açığı ilk olarak 14 Ekim 2025’te Microsoft’un onu CVE-2025-59287 tanımlayıcısı altında resmi olarak kaydetmesiyle ortaya çıktı. Keşfin ardından Microsoft, halka açık kavram kanıtı (PoC) yararlanma kodunun varlığını doğruladıktan sonra 23 Ekim 2025’te bant dışı bir güncelleme yayınladı. Bu durum, istismarın artan olgunluğunu yansıtacak şekilde CVSS zamansal puanının güncellenmesine yol açtı.
Güncelleştirme, Windows Update, Microsoft Update ve Microsoft Update Kataloğu dahil olmak üzere birden çok kanal aracılığıyla edinilebilir. Güncelleştirmeleri otomatik olarak alacak şekilde yapılandırılmış sistemler, yamayı manuel müdahaleye gerek kalmadan indirip yükleyecektir. Güncelleme uygulandıktan sonra sistemin yeniden başlatılması gerekir.
Azaltma ve Geçici Çözümler
Microsoft, 23 Ekim 2025 yamasını hemen yükleyemeyen kuruluşlar için çeşitli geçici azaltımlar sağlamıştır:
- WSUS Sunucu Rolünü Devre Dışı Bırakın: Bunu yapmak, kötüye kullanımı önler ancak aynı zamanda istemcilere güncelleme dağıtımını da durdurur.
- Gelen Trafiği Engelle: Yöneticiler, WSUS’yi çalışmaz hale getirmek ve saldırı riskini azaltmak için ana bilgisayar güvenlik duvarındaki 8530 ve 8531 numaralı bağlantı noktalarını engelleyebilir.
Microsoft, resmi düzeltme eki başarıyla uygulanana kadar bu geçici çözümlerin yerinde kalması gerektiği konusunda uyarıyor. Güncellemeden önce bunların geri döndürülmesi, sistemleri potansiyel istismara açık bırakabilir.
Kullanılabilirlik ve Risk
Microsoft, piyasaya sürüldüğü sırada, kavram kanıtlama kodunun ötesinde aktif bir istismar veya kamuya ifşa edildiğine dair hiçbir kanıt bildirmedi. Ancak bir WSUS sunucusunun başarılı bir şekilde ele geçirilmesi, saldırganların kötü amaçlı güncellemeleri bir kuruluşun ağına dağıtmasına, sistem yapılandırmalarını değiştirmesine veya iç ortamların daha derinlerine inmesine olanak tanıyabilir.
CVE-2025-59287, CODE WHITE GmbH’den Markus Wulftange tarafından bildirildi; Microsoft, sorunun tanımlanmasına ve sorumlu bir şekilde ifşa edilmesine yaptığı katkıyı kabul etti.
Kimliği doğrulanmamış bir saldırganın, kullanıcı etkileşimi olmadan ağ üzerinden RCE’ye ulaşabilmesi, bu güvenlik açığını kritik bir önceliğe yükseltir. WSUS’ye güvenen kuruluşlar, 23 Ekim 2025 güncellemesinin etkilenen tüm sistemlere uygulandığını doğrulamalıdır. Tamamen yama uygulanana kadar korumasız tüm WSUS kurulumları tehlikeye girme riskiyle karşı karşıya kalır.