Microsoft, 2025 Salı günü sondan bir önceki Yamayı, son zamankinden daha hafif bir güncellemeyle kutladı ve ürün grubu genelinde yalnızca 63 yaygın güvenlik açığını ve maruziyeti (CVE) ele aldı; bu, ortalama 100’ün üzerinde olan son düşüşlerinin çoğundan çok farklı ve tek bir sıfır gün kusurunu ele aldı.
CVE-2025-62215 olarak izlenen bu ayın tek sıfır günü, Microsoft işletim sisteminin merkezinde yer alan Windows Çekirdeğindeki bir ayrıcalık yükselmesi (EoP) güvenlik açığıdır. CVSS puanı yalnızca 7,0’dır ve ciddiyeti açısından kritik olarak derecelendirilmemiştir, ancak henüz kamuya açık bir kavram kanıtı yayınlanmamış olmasına rağmen, sömürü vahşi doğada gözlemlenmiştir.
Immersive’in baş siber güvenlik mühendisi Ben McCarthy, sorunun temel nedeninin iki birleşik zayıflıktan kaynaklandığını açıkladı; biri birden fazla sürecin paylaşılan verilere erişmeye ve bunları aynı anda değiştirmeye çalıştığı bir yarış durumu, diğeri ise çift boş bellek yönetimi hatası.
“Düşük ayrıcalıklı yerel erişime sahip bir saldırgan, bu yarış durumunu tekrar tekrar tetiklemeye çalışan özel hazırlanmış bir uygulamayı çalıştırabilir” diye açıkladı. “Amaç, birden fazla iş parçacığının paylaşılan bir çekirdek kaynağıyla senkronize olmayan bir şekilde etkileşime girmesini sağlamak, böylece çekirdeğin bellek yönetimini karıştırıp aynı bellek bloğunu iki kez boşaltmasına neden olmaktır.
“Bu başarılı double-free, çekirdek yığınını bozarak, saldırganın belleğin üzerine yazmasına ve sistemin yürütme akışını ele geçirmesine olanak tanıyor.”
McCarthy şunu ekledi: “Kuruluşlar bu güvenlik açığı için yamayı uygulamaya öncelik vermelidir. 7,0 CVSS puanı her zaman yama listesinin başında olmayabilir, ancak aktif istismar durumu bunu kritik bir öncelik haline getirir. Başarılı bir istismar, saldırgana Sistem ayrıcalıkları vererek uç nokta güvenliğini tamamen atlamasına, kimlik bilgilerini çalmasına, rootkit yüklemesine ve diğer kötü niyetli eylemleri gerçekleştirmesine olanak tanır. Bu, bir saldırganın istismar sonrası taktik kitabındaki kritik bir bağlantıdır.”
Action1’in başkanı ve kurucu ortağı Mike Walters, gerçek dünyada, CVE-2025-62215 yoluyla başarılı bir uzlaşmadan kaynaklanabilecek üç temel iş etkisinin potansiyel olarak bulunduğunu söyledi. Walters, kritik dosya sunucularının ele geçirilmesinden, yanal hareketten ve fidye yazılımı dağıtımından ve veri sızıntısı veya diğer operasyonel aksaklıklardan kaynaklanan düzenleyici, mali ve itibar zararlarından kaynaklanan kitlesel kimlik bilgilerinin açığa çıkma olasılığının altını çizdi.
“Sömürü karmaşıktır” diye belirtti, “ancak vahşi doğada görülen işlevsel bir istismar aciliyeti artırıyor, çünkü yetenekli aktörler bunu hedeflenen kampanyalarda güvenilir bir şekilde silah haline getirebilir.”
Kasım ayının gündeminde bir diğer önemli konu ise Graphics Device Interface Plus’ta (GDI+) CVSS puanı 9,8 olan bir RCE güvenlik açığı olan CVE-2025-60724’tür. GDI+ nispeten düşük seviyeli bir bileşendir ancak 2D grafiklerin, görüntülerin ve metinlerin oluşturulmasından sorumludur ve bu nedenle birden fazla Microsoft uygulamasına ve sayısız üçüncü taraf programa da temel işlevsellik sağlar.
Rapid7 baş yazılım mühendisi Adam Barnett, bunun mümkün olduğu kadar sıfır güne yakın olduğunu ve Microsoft yazılımını çalıştıran hemen hemen her varlığı etkilemesinin muhtemel olduğunu söyledi.
“En kötü senaryoda, bir saldırgan, savunmasız bir web hizmetine kötü amaçlı bir belge yükleyerek bu güvenlik açığından yararlanabilir” dedi.
“Danışman kod yürütmenin bağlamını açıklamıyor, ancak tüm yıldızlar saldırgan için hizalanırsa ödül, mevcut bir dayanağa ihtiyaç duymadan ağ üzerinden Sistem olarak uzaktan kod yürütmek olabilir. Bu güvenlik açığı neredeyse kesinlikle solucanlanabilir olmasa da, açıkça çok ciddi ve bu ayın yamalarına nasıl yaklaşacağını düşünen hemen hemen herkes için kesinlikle en önemli öncelik.”
Action1’den Walters şunları ekledi: “Bu acil durum düzeyindedir: Kullanıcı etkileşimi olmayan ve saldırı karmaşıklığı düşük olan, ağ üzerinden erişilebilen bir RCE, en tehlikeli hatalar arasındadır. Sunucunun tehlikeye atılması, çok kiracılı sistemlerde kiracı etkisi ve hızlı kitlesel istismar potansiyeli, bunu en önemli öncelik haline getiriyor.
“Saldırganların CFG, ASLR ve DEP gibi hafifletici önlemleri atlayan güvenilir ayırıcı ve yorumlayıcı manipülasyonları oluşturması gerektiğinden, istismarın mükemmel hale gelmesi zaman alabilir. Yine de GDI+ ve görüntü ayrıştırma hatalarının hızlı bir şekilde silah haline getirilme geçmişi var.”
Eleştirmenlerce beğenilen hatalar
Son olarak, güvenlik ekiplerinin bu ayki dosyasında, Trend Micro’nun Sıfır Gün Girişimi’nden (ZDI) Dustin Childs tarafından vurgulanan dört kritik güvenlik açığı yer alıyor. Bunlar, Nuance PowerScribe 360’taki üçüncü taraf bilgilerin ifşa edilmesi kusuru olan CVE-2025-30398’dir; CVE-2025-60716, DirectX Grafik Çekirdeğindeki bir EoP kusuru; CVE-2025-62199, Microsoft Office’teki bir RCE kusuru; ve Visual Studio’daki başka bir RCE kusuru olan CVE-2025-62214.