Bu haftanın başlarında Microsoft, bir ASP.NET Core güvenlik kusurunun aldığı “şimdiye kadarki en yüksek” önem derecesi ile işaretlenen bir güvenlik açığını düzeltti.
Bu HTTP isteği kaçakçılığı hatası (CVE-2025-55315), Kestrel ASP.NET Core web sunucusunda bulundu ve kimliği doğrulanmış saldırganların, diğer kullanıcıların kimlik bilgilerini ele geçirmek veya ön uç güvenlik kontrollerini atlamak için başka bir HTTP isteğini kaçırmasına olanak tanıyor.
Microsoft, Salı günü yayınlanan bir danışma belgesinde “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, diğer kullanıcıların kimlik bilgileri (Gizlilik) gibi hassas bilgileri görüntüleyebilir ve hedef sunucudaki dosya içeriklerinde değişiklikler yapabilir (Bütünlük) ve sunucunun çökmesine neden olabilir (Kullanılabilirlik)” dedi.
ASP.NET Core uygulamalarının olası saldırılara karşı korunmasını sağlamak için Microsoft, geliştiricilere ve kullanıcılara aşağıdaki önlemleri almalarını önerir:
- .NET 8 veya üzerini çalıştırıyorsanız Microsoft Update’ten .NET güncellemesini yükleyin, ardından uygulamanızı yeniden başlatın veya makineyi yeniden başlatın.
- .NET 2.3 çalıştırıyorsanız, Microsoft.AspNet.Server.Kestrel.Core paket referansını 2.3.6’ya güncelleyin, ardından uygulamayı yeniden derleyin ve yeniden konuşlandırın.
- Bağımsız/tek dosyalı bir uygulama çalıştırıyorsanız .NET güncellemesini yükleyin, yeniden derleyin ve yeniden konuşlandırın.
Microsoft, güvenlik açığını gidermek için Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 ve ASP.NET Core 9.0’ın yanı sıra ASP.NET Core 2.x uygulamalarına yönelik Microsoft.AspNetCore.Server.Kestrel.Core paketi için güvenlik güncelleştirmeleri yayımladı.
.NET güvenlik teknik program yöneticisi Barry Dorrans’ın açıkladığı gibi, CVE-2025-55315 saldırılarının etkisi hedeflenen ASP.NET uygulamasına bağlı olacaktır ve başarılı bir şekilde kullanılması, tehdit aktörlerinin farklı bir kullanıcı olarak oturum açmasına (ayrıcalık yükseltme için), dahili bir istek yapmasına (sunucu tarafı istek sahteciliği saldırılarında), siteler arası istek sahteciliği (CSRF) kontrollerini atlamasına veya enjeksiyon saldırıları gerçekleştirmesine olanak tanıyabilir.
Dorrans, “Ancak neyin mümkün olduğunu bilmiyoruz çünkü bu, uygulamanızı nasıl yazdığınıza bağlı. Bu nedenle, mümkün olan en kötü durumu, kapsamı değiştiren bir güvenlik özelliğini atlamayı göz önünde bulundurarak puan veriyoruz” dedi.
“Bu muhtemel mi? Hayır, muhtemelen uygulama kodunuz tuhaf bir şey yapmıyorsa ve her istekte yapması gereken bir dizi kontrolü atlamıyorsa hayır. Ancak lütfen güncellemeye gidin.”
Bu ayın Salı Yaması sırasında Microsoft, sekiz “Kritik” güvenlik açığı ve altı sıfır gün hatası (bunlardan üçü saldırılarda kullanıldı) dahil olmak üzere 172 kusur için güvenlik güncellemesi yayınladı.
Bu hafta Microsoft, işletim sistemi destek yaşam döngüsünün sonuna ulaştığında son Windows 10 güvenlik güncellemelerini içeren toplu bir güncelleme olan KB5066791’i de yayınladı.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.