Ekim 2025 Yaması Salı günü Microsoft, aktif saldırı altındaki üç sıfır gün de dahil olmak üzere 175’ten fazla güvenlik açığı için düzeltmeler yayınladı: CVE-2025-24990, CVE-2025-59230 ve CVE-2025-47827.
Aktif olarak yararlanılan güvenlik açıkları alışılmadık bir karışımdır
CVE-2025-24990 üçüncü taraf sürücüde (ltmdm64.sys) çevirmeli internet erişimi ve faks gönderme/alma için kullanılan yazılım tabanlı Agere Modem için.
Güvenlik açığı bulunan sürücü şimdiye kadar yerel olarak Windows ile birlikte gönderiliyordu ve saldırganların yönetici ayrıcalıkları elde etmesine olanak tanıyan güvenlik açığı, vahşi ortamda saldırganlar tarafından istismar ediliyordu.
Bu saldırıların ne kadar yaygın olduğu bilinmiyor ancak kusuru işaretleyen araştırmacılardan biri olan Fabian Mosch, bunun EDR’den kaçınmak için kullanılmış olabileceğini öne sürdü.
Trend Micro’nun Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs, “Güvenlik açığı olan dosyaların tüm Windows sistemlerinde bulunduğunu göz önünde bulundurarak, bunu geniş bir saldırı olarak değerlendirmeli ve hızlı bir şekilde güncellemelisiniz” tavsiyesinde bulundu.
Microsoft, ekim ayındaki toplu güncellemede sürücüyü kaldırdı ve modem kullanımda olmasa bile güvenlik açığından yararlanılabileceği için tüm kullanıcılara güncelleme yapmalarını tavsiye etti. Ancak şirket, belirli bir sürücüye bağlı olan faks modem donanımının artık güncellenmiş sistemlerde çalışmayacağı konusunda uyardı.
(CVE-2025-24052, aynı sürücüdeki başka bir ayrıcalık yükselmesi güvenlik açığı da sürücünün kaldırılmasıyla “düzeltildi”. Bu açıktan yararlanılmıyor ancak daha önce kamuya açıklanmıştı.)
CVE-2025-59230, çevirmeli bağlantı ve VPN bağlantılarını yöneten bir hizmet olan Windows Uzaktan Erişim Bağlantı Yöneticisini (aka RasMan) etkileyen bir ayrıcalık yükselmesi güvenlik açığıdır.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, “RasMan, Salı Yaması’nda sık sık uçan biri olmasına ve Ocak 2022’den bu yana 20’den fazla kez görünmesine rağmen, bu onun vahşi doğada sıfır gün olarak kullanıldığını ilk kez görüyoruz” dedi.
Güvenlik açığı, Windows ve Windows Server’ın desteklenen tüm sürümlerini etkiliyor ve saldırganların ayrıcalıklarını SİSTEM’e yükseltmelerine (yani makinenin tamamen “sahibi olmalarına”) olanak tanıyor.
Kusur, Microsoft’un tehdit istihbaratı analistleri ve güvenlik yanıt merkezi tarafından bildirildi, ancak kullanıldığı saldırıların kapsamı hakkında hiçbir ayrıntı paylaşılmadı. Yine de aktif olarak yararlanılan tüm kusurların mümkün olan en kısa sürede düzeltilmesi gerekmektedir.
CVE-2025-47827, Linux tabanlı IGEL işletim sistemini (sürüm 11’den önce) etkiler ve saldırganların Güvenli Önyükleme sürecini atlamasına olanak tanır.
IGEL OS en yaygın olarak Windows PC’leri sanal masaüstü bilgisayarlar, kiosklar ve diğer tek amaçlı cihazlar için güvenli, merkezi olarak yönetilen ince istemciler olarak yeniden tasarlamak için kullanılır. Bu tür cihazlar genellikle sağlık, eğitim, perakende ve endüstriyel ortamlarda kullanılmaktadır.
Immersive Tehdit Araştırması Kıdemli Direktörü Kev Breen, “Tehdit aktörleri çekirdek düzeyinde bir rootkit konuşlandırarak IGEL işletim sisteminin kendisine erişim sağlayabilir ve buna bağlı olarak kimlik bilgilerinin ele geçirilmesi de dahil olmak üzere Sanal Masaüstlerine müdahale edebildiğinden, Güvenli Önyükleme atlamasının etkileri önemli olabilir” dedi.
“Bunun uzaktan bir saldırı olmadığını ve bu tür bir güvenlik açığından yararlanmak için genellikle fiziksel erişimin gerekli olduğunu belirtmek gerekir; bu da ‘kötü hizmetçi’ tarzı saldırıların, sık seyahat eden çalışanları etkileyen en olası vektör olduğu anlamına geliyor.”
Hızlı eylem gerektiren diğer güvenlik açıkları
Childs, Windows Server Update Service’i (WSUS) kullananlar için CVE-2025-59287 yamasının uygulanmasını öneriyor; bu yama, kimliği doğrulanmamış uzak saldırganların, kullanıcı etkileşimi olmadan yükseltilmiş ayrıcalıklarla koddan yararlanmasına olanak tanıyor.
“Bu, etkilenen WSUS sunucuları arasında bunun solucan olabileceği anlamına geliyor. WSUS, herkesin altyapısının kritik bir parçası olmaya devam ettiğinden, zarar vermek isteyenler için cazip bir hedeftir” diye açıkladı.
Breen ayrıca WSUS’nin güvenilir bir Windows hizmeti olması nedeniyle saldırganların onu yok sayan veya hariç tutan bazı EDR algılamalarını potansiyel olarak atlayabileceğini de belirtti.
Narang, Microsoft Office kullanıcılarının ayrıca “Önizleme Bölmesi”nden yararlanan bir çift uzaktan kod yürütme hatası olan CVE-2025-59227 ve CVE-2025-59234’ü de dikkate alması gerektiğini, çünkü hedefin istismarın gerçekleşmesi için kötü amaçlı dosyayı açmasına bile gerek olmadığını söylüyor.
Son olarak, CVE-2025-55315, ASP.NET Core’daki kritik bir Güvenlik Özelliği Atlama güvenlik açığıdır ve yalnızca kimliği doğrulanmış saldırganlar tarafından kullanılabilir olmasına rağmen, hassas bilgileri (örneğin, kullanıcının kimlik bilgileri) görüntülemelerine, hedef sunucudaki dosya içeriklerinde değişiklik yapmalarına veya sunucunun çökmesine neden olmalarına olanak tanıyabilir.
Microsoft, güvenlik açığından yararlanma olasılığının daha düşük olduğunu düşünse de Immersive’in siber güvenlik mühendisi Ben McCarthy, güvenlik atlamalarının genellikle 9,9 CVSS puanı almadığını belirtiyor.
“Bu bir güvenlik bypass’ı olsa da, saldırganlar bu güvenlik açığından bu kadar kolaylıkla yararlanabilirler ve bu güvenlik açığının muhtemelen ASP.NET kullanan birçok harici uygulamada yer alması, bu güvenlik açığını haklı çıkarmaktadır” dedi.
“Kuruluşların, mümkün olduğunda ASP.NET sürümlerini yükselterek bu düzeltme ekini denemeleri, önce kod tabanlarının çalışmalarını ASP.NET’in daha yeni sürümünde test etmeleri ve ardından yükseltme yaptıklarından emin olmaları önerilir.”
Windows 10 desteğinin sonuna ulaştı
Bir hatırlatma olarak: Microsoft bu ay Windows 10’un yanı sıra Office 2016 ve 2019 ile Exchange Server 2016 ve 2019 desteğini de sonlandırıyor.
Office kullanıcıları Office 2024, Microsoft 365 (abone olmanız gereken bulut tabanlı hizmet olarak yazılım) veya Microsoft dışı bir alternatife (örn. LibreOffice, WPS Office vb.) geçiş yapabilir.
Exchange kullanıcıları Microsoft’un bulut tabanlı Exchange’ine geçiş yapabilir veya verileri üzerindeki kontrolü ellerinde tutmak isterlerse Exchange Server Subscription Edition’a yükseltme yapabilirler. Veya Exchange’i tamamen bırakıp alternatif bir posta platformuna geçebilirler.
Windows 10 kullanıcıları ve kuruluşları, Genişletilmiş Güvenlik Güncelleştirmeleri (ESU) programına kaydolabilir (Avrupalı kullanıcılar daha uygun koşullara sahiptir), Windows 11’e yükseltebilir veya Windows 10’da kalıp mikro yamalamayı tercih edebilir. Ve elbette başka bir işletim sistemine geçmek de bir seçenektir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!