Microsoft Şubat ayında iki sıfır gün yamalıyor

Siber suç, veri ihlali bildirimi, veri güvenliği

Ayrıca: Google, kullanıcı e -postalarını maruz bırakabilecek YouTube güvenlik açıklarını düzeltiyor

Anviksha More (Anvikshamore) •
13 Şubat 2025

ISMG her hafta dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta: Microsoft, Ivanti ve Google Release, kritik güvenlik açıkları ve dürtü öncesi yama için düzeltmeler; Lee Enterprises, siber saldırıyı bozmuş bir gazete operasyonlarını doğruladı; ve kritik uzaktan kod yürütme kusurlarına maruz kalan binlerce Keriocontrol güvenlik duvarı.

Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır

Microsoft, Salı günü Şubat Yaması güncellemesinde yazılım ekosisteminde 73 güvenlik kusuruna hitap etti. Bunlar arasında, vahşi doğada aktif olarak iki sıfır günlük güvenlik açığı sömürülmüş ve hemen yama dağıtımının aciliyetini artırmıştır.

CVE-2025-21402 olarak izlenen sıfır günlerden biri, Windows’ta saldırganların hedeflenen bir sistemde yüksek izinler kazanmasına izin verebilecek bir ayrıcalık artış kusuru. Microsoft bunu ‘önemli’ olarak sınıflandırdı ve aktif sömürü raporları onayladı.

İkinci sıfır gün olan CVE-2025-21399, Microsoft Office’i etkileyen bir güvenlik özelliğidir. Bu kusurun sömürülmesi, saldırganların makro tabanlı güvenlik korumalarından kaçmasına izin verebilir ve bu da potansiyel olarak kötü niyetli belgelerle kötü amaçlı yazılım enfeksiyonlarına yol açar.

İki sıfır güne ek olarak, güncelleme ayrıca Windows, Exchange Server ve Azure’da RCE’yi etkinleştirebilecek 15 kritik güvenlik açığını da düzeltir.

Ivanti, üç kritik kusur da dahil olmak üzere birden fazla güvenlik açıkını ele alan Connect Güvenli, Politika Güvenli ve Güvenli Erişim İstemci ürünleri için güvenlik güncellemeleri yayınladı. Şirket, CISA, Akamai ve Hackerone Bug Bounty platformunun katkıları da dahil olmak üzere sorumlu açıklama programları aracılığıyla sorunları keşfetti.

Ivanti, bu güvenlik açıklarının aktif olarak sömürülmesini tespit etmese de, kullanıcıları yamaları hemen uygulamaya çağırıyor. En şiddetli kusur olan CVE-2025-22467, düşük ayrıcalıklara sahip RCE’ye izin veren yığın tabanlı bir tampon taşmasıdır. Diğer iki kritik kusur, her ikisi de kimlik doğrulaması gerektiren ancak çalıntı kimlik bilgileri olan saldırganlar tarafından kullanılabilen, sırasıyla harici dosya adı kontrol ve kod enjeksiyonunu içerir.

Güncelleme ayrıca, siteler arası komut dosyası, sabit kodlu şifreleme anahtarları ve yetersiz izinler dahil olmak üzere orta ila yüksek şiddetin beş ek güvenlik açıkını da ele alıyor.

Ivanti, Pulse Connect Secure 9.x’in de etkilendiğini, ancak desteği Aralık 2024’te sona erdiğinden düzeltme almayacağını doğruladı. Şirket, yamalı kusurlar için herhangi bir azaltma sağlanmadığı için müşterilere daha yeni sürümlere yükseltmelerini tavsiye ediyor.

Google, birleştirildiğinde, YouTube kullanıcılarının e -posta adreslerini ortaya çıkarabilecek ve anonimliğe dayananlar için büyük bir gizlilik riski oluşturabilecek iki güvenlik kusurunu düzenledi.

Güvenlik araştırmacıları Brutecat ve Nathan, YouTube’un API’sının kullanıcıların iç Google Gaia ID’lerini sızdırdığını ve daha sonra eski bir piksel kaydedici API’sı kullanılarak e -posta adreslerine dönüştürülebildiğini keşfetti. Gaia ID’leri, Gmail, YouTube ve Google Drive gibi hizmetler arasında benzersiz Google Hesap Tanımlayıcıları olarak hizmet eder, ancak herkese açık değildir.

Brutecat, YouTube’un canlı sohbet özelliğinin bu kimlikleri bir API isteği ile istemeden ortaya çıkardığını buldu. Bu isteği değiştirerek, araştırmacılar herhangi bir YouTube kullanıcısının GAIA kimliğini alabilirler. Nathan daha sonra Pixel Recorder’ın Web API’sının bu kimliği ilgili e -posta adresini almak için kullanabileceğini ve potansiyel olarak milyonlarca kullanıcının masrafını kaldırabileceğini keşfetti.

Google Eylül 2024’te bilgilendirildi ve sorunu 9 Şubat’a kadar düzeltti. Başlangıçta, raporu bir kopya olarak kabul etti ve 3.133 dolarlık bir ödül verdi ve daha sonra tam istismar zincirini tanıdıktan sonra 10.633 dolara çıkardı.

Google, güvenlik açıklarının hafifletildiğini ve gerçek dünyadaki sömürü kanıtı olmadığını doğruladı. Bu düzeltmeler artık GAIA ID pozlamasını sınırlandırıyor ve youtube engellemeyi platformun kendisiyle sınırlandırıyor.

En büyük ABD gazete yayıncılarından biri olan Lee Enterprises, 3 Şubat’ta bir siber saldırının, operasyonlarını bozarak büyük bir teknoloji kesintisine neden olduğunu açıkladı.

Saldırı, birkaç dahili ağın kapatılmasını zorladı ve birden fazla gazetenin baskısını ve teslimatını bozdu. Saldırı ayrıca uzak çalışanlar için VPN erişimini de etkiledi ve gazetecilerin kritik dosyalara erişememesi. Birçok Lee Enterprises yayını o zamandan beri bakım bildirimleri, okuma okuyucularını abonelik hizmetlerine ve e-baskılarda geçici aksaklıklar uyardı.

Aralık 2024’te yayınlanan bir güvenlik yamasına rağmen, 12.000’den fazla GFI Keriokontrol güvenlik duvarı örneği, kritik bir RCE kusuruna karşı savunmasız kalıyor, CVE-2024-52875. Güvenlik açığı, saldırganların minimal çaba ile kötü amaçlı kod yürütmesini, küçük ve orta için ciddi bir risk oluşturmasına izin veriyor. Ağ güvenliği, VPN’ler ve izinsiz giriş önleme için Keriocontrol’e güvenen büyüklükteki işletmeler.

Kusur, HTTP başlıklarında uygunsuz giriş sterilizasyonundan yararlanarak tek tıklamayla RCE saldırılarını sağlar. Keşiften kısa bir süre sonra, GFI Software 9.4.5 Yama 1. sürümünde bir düzeltme yayınladı. Ancak, Ocak ayı başlarında, Censys hala çevrimiçi olarak yaklaşık 24.000 savunmasız örnek bildirdi ve şimdi Shadowserver, öncelikle İran, ABD’de olmak üzere 12.229 açık güvenlik duvarı tespit etti. İtalya, Almanya ve Hindistan.

Yöneticiler, riski azaltmak ve ek güvenlik geliştirmeleri uygulamak için 31 Ocak 2025’te piyasaya sürülen Keriocontrol sürüm 9.4.5 Yama 2’yi yüklemeleri istenir.

Geçen haftadan diğer hikayeler