Microsoft, siber suç ağlarını bozmak için Avrupa güvenlik çabasını açıklıyor

CVE-2025-24993 olarak izlenen kritik bir yığın tabanlı tampon taşma güvenlik açığı, Windows Yeni Teknoloji Dosya Sisteminde (NTFS) keşfedildi ve dünya çapında milyonlarca Windows kullanıcısı için önemli bir tehdit oluşturdu.

Microsoft’un Salı günü Mart 2025 yaması sırasında düzenlenen kusur, aktif olarak vahşi doğada sıfır gün olarak sömürüldü ve hem Microsoft hem de ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) acil tavsiyelerde bulundu.

Zincir ve Saldırı Mekaniği sömürüsü

CVE-2025-24993, özel olarak hazırlanmış sanal sabit disk (VHD) dosyalarını işlerken NTFS sürücüsünde uygunsuz bellek sınırı doğrulamasından kaynaklanır.

– Reklamcılık –

Güvenlik açığı, yığın üzerinde bir arabelleğe yazılan veriler tahsis edilen boyutunu aştığında, potansiyel olarak bitişik belleğin üzerine yazıldığında ve keyfi kod yürütülmesini sağladığında ortaya çıkan yığın bazlı bir tampon taşması (CWE-122) olarak sınıflandırılır.

İstismar nasıl çalışır

• Tetiklemek: Saldırganlar, genellikle meşru bir belge olarak gizlenmiş veya kimlik avı kampanyaları ve tehlikeye atılan USB sürücüleri aracılığıyla dağıtılan kötü niyetli bir VHD dosyası oluştururlar.
• Kullanıcı etkileşimi: İstismar, bir kullanıcının sosyal mühendislik yoluyla veya kullanıcıyı dosyanın güvenli olduğuna inanması için yanıltmasıyla kötü amaçlı VHD dosyasını monte etmesini gerektirir.
• Güvenlik Açığı Aktivasyonu: Montaj üzerine, NTFS sürücüsü, bellek arabelleğinin sınırlarını düzgün bir şekilde kontrol edemez ve saldırganın yükünün yığın taşmasına ve yerel kullanıcının ayrıcalıklarıyla keyfi kod yürütmesine izin verir.
• Darbe: Başarılı sömürü, sistem düzeyinde erişim, tam sistem uzlaşması, veri eksfiltrasyonu, hizmet kesintisi ve kurumsal ağlardaki yanal harekete ayrıcalık artışına neden olabilir.

Teknik Özet Tablosu

Kod düzeyinde içgörü

Microsoft, Konsept Kanıtı (POC) kodu yayınlamasa da, güvenlik açığının kök nedeni VHD montajını işleyen NTFS sürücü rutinlerinde yatmaktadır.

Kusurlu mantığın basitleştirilmiş bir sahte kod gösterimi şöyle görünebilir:

c// Pseudocode: Vulnerable NTFS VHD Mount Routine
void mount_vhd(char* vhd_data, size_t data_len) {
    char* heap_buffer = malloc(FIXED_SIZE);
    memcpy(heap_buffer, vhd_data, data_len); // No bounds check!
    // ... further processing ...
}

Bu örnekte ise data_len aşmak FIXED_SIZEarabellek taşması oluşur ve saldırgan kontrollü kodun belleğe enjekte edilmesine izin verir.

Azaltma, tespit ve endüstri tepkisi

Microsoft’un güvenlik güncellemesi, VHD işlemleri sırasında daha katı bellek doğrulama kontrolleri uygulayarak tampon aşımlarını önleyerek kusuru ele alır.

CISA, federal ajansları 1 Nisan 2025’e kadar etkilenen tüm sistemleri yamaya zorladı ve CVE’yi bilinen sömürülen güvenlik açıkları kataloğuna ekledi.

Kuruluşlar için en iyi uygulamalar:

• Mart 2025 güvenlik yamalarını hemen tüm Windows sistemlerine dağıtın.
• Kullanıcıları, kimlik avı kampanyalarında giderek daha fazla kaldırılan istenmeyen veya şüpheli VHD dosyalarını monte etmekten kaçınmak için eğitin.
• Olağandışı VHD montaj aktivitesi için uç noktaları izleyin ve anomalileri işaretlemek için gelişmiş algılama araçlarını kullanın.
• Uzlaşma durumunda eski sistemleri izole etmek ve patlama yarıçapını sınırlamak için segment ağları.

CVE-2025-24993, modern işletim sistemlerindeki çekirdek dosya sistemi bileşenleriyle ilişkili kalıcı risklerin altını çizmektedir.

Sıfır gün olarak sömürülmesi, gelişen siber tehditlere karşı korunmak için hızlı yama dağıtım, kullanıcı eğitimi ve sağlam uç nokta izleme için kritik ihtiyacı vurgulamaktadır.

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun