Microsoft, Active Directory Sertifika Hizmetlerinde (AD CS) yeni tanımlanmış bir güvenlik açığı için bir güvenlik danışmanlığı yayınladı, bu da CVE-2025-29968 olarak izledi ve bu da kimlik doğrulamalı saldırganların bir ağ üzerinden kritik sertifika yönetimi operasyonlarını bozmasına izin verebilir.
CVSS V3.1 skoru 6.5 ile önemli olan kusur, yanlış giriş doğrulamasından (CWE-20) kaynaklanmaktadır ve AD CS sunucularına karşı hizmet reddi (DOS) saldırılarını sağlar.
Aktif sömürü veya kamu açıklaması bildirilmemesine rağmen, kuruluşların potansiyel hizmet kesintilerini azaltmak için yamaya öncelik vermeleri istenmektedir.
.png
)
Kurumsal Kimlik Yönetimi’nin temel taşı olan Active Directory Sertifika Hizmetleri, Windows ortamlarında sertifika verimi, yenileme ve iptali işler.
Güvenlik açığı, AD CS özel olarak hazırlanmış müşteri isteklerini doğru bir şekilde doğrulayamadığında ortaya çıkar ve kötü biçimlendirilmiş girişlerin zorlanmamış istisnaları tetiklemesine izin verir.
Bu kusurdan yararlanan saldırganlar, Sertifika Authority Web Kayıt Hizmeti gibi kritik AD CS süreçlerini çökertebilir ve sistemi geçici olarak çalışmaz hale getirir.
Saldırı vektörü, ağ erişimi (AV: N) ve düşük karmaşıklık teknikleri (AC: L) gerektirir, ancak geçerli kimlik doğrulama kimlik bilgilerine (PR: L) menteşeler gerektirir.
Veri gizliliğini veya bütünlüğünü tehlikeye atan güvenlik açıklarından farklı olarak, bu kusur sadece kullanılabilirliği etkiler ve bu da çalışma süresine öncelik veren kuruluşlar için 5.7 çevresel puan kazanır.
Microsoft’un analizi, sömürünün keyfi kod yürütülmesine veya ayrıcalık artışına izin vermediğini, ancak akıllı kart kimlik doğrulaması ve güvenli e-posta hizmetleri de dahil olmak üzere sertifika ile ilgili iş akışlarını felç edebileceğini doğrular.
Potansiyel ve operasyonel etki
Şu anda kimliği doğrulanmış erişim ihtiyacı nedeniyle “sömürü olası” olarak değerlendirilmesine rağmen, güvenlik açığı, saldırganların düşük ayrı hesapları tehlikeye atabileceği ortamlarda önemli riskler oluşturmaktadır.
Başarılı bir saldırı, AD CS’nin meşru sertifika taleplerinin işlenmesini, VPN ağ geçitleri gibi bağlı sistemlerin sakatlanmasını, şifreli dosya paylaşımlarını ve cihaz sağlama hizmetlerini engelleyecektir.
PKI tabanlı kimlik doğrulama için AD CS’ye güvenen işletmeler için, uzun süreli kesinti süresi çalışanların kritik uygulamalara erişimini bozabilir ve yazılım dağıtımları gibi BT işlemlerini geciktirebilir.
Microsoft, halka açık istismar kodunun bulunmamasının uzun vadeli riskleri ortadan kaldırmadığını vurgulamaktadır.
Düşmanlar genellikle saldırılar geliştirmek için yamaları tersine çevirerek zamanında güncellemeleri gerekli kılar.
Hibrit AD CS dağıtımları olan kuruluşlar, özellikle internete dönük uç noktalara maruz kalan kuruluşlar, saldırganlar fiziksel veya yerel ağ erişimi olmadan kusurdan uzaktan sömürülebilirler.
2024 Petitpotam AD CS saldırıları gibi tarihsel paralellikler, sertifika otoritesi güvenlik açıklarının nasıl alan çapında uzlaşmalara dönüşebileceğini vurgulamaktadır, ancak bu özel kusur bu tür yükseliş yollarından yoksundur.
Azaltma stratejileri
Microsoft, Mayıs 2025 Patch Salı Döngüsü aracılığıyla CVE-2025-29968’i ele alan güvenlik güncellemeleri yayınladı ve AD CS rollerini barındıran tüm desteklenen Windows Server sürümleri için mevcut yamalar. Yöneticilere aşağıdakilere tavsiye edilir:
- Güncellemeleri hemen uygulayın AD CS sunucuları için, yüksek hacimli sertifika taleplerini kullananlara öncelik verir.
- Denetim Kimlik Doğrulama Günlükleri Olağandışı kimlik bilgisi kullanımı için, özellikle sertifika kayıt hakları olan ancak sınırlı idari ayrıcalıklara sahip hesaplar için.
- Segment AD CS sunucuları Saldırı yüzeyini azaltmak için yetkili kullanıcılara ve sistemlere erişimi kısıtlamak için güvenlik duvarlarının arkasında.
Hemen yama yapamayan kuruluşlar için Microsoft, kullanılmayan AD CS Web Kayıt Arabirimlerinin devre dışı bırakılmasını ve katı ağ erişim kontrollerinin uygulanmasını önerir.
İzleme araçları, sömürü girişimlerini gösterebilecek tekrarlanan sertifika istek arızalarını veya beklenmedik hizmet yeniden başlatmalarını işaretlemelidir.
Derinlemeli bir önlem olarak, işletmeler kayıt kalıpları için sertifika ihraç oranı sınırlama ve anomali tespiti de uygulayabilir.
CVE-2025-29968 veri hırsızlığı veya sistem devralmayı kolaylaştırmasa da, kimlik doğrulama iş akışlarını bozma potansiyeli uyanıklık gerektirir.
İşletmeler, geniş dağıtımdan önce evreleme ortamlarındaki güncellemeleri test ederek, operasyonel süreklilik ile yama aciliyetini dengelemelidir.
Sertifikaya dayalı kimlik doğrulaması sıfır tröst mimarilerinde her yerde bulunduğundan, DOS saldırılarına karşı AD CS altyapısının güvence altına alınması, modern kimlik ekosistemlerinin güvenilirliğini sağlar.
Microsoft’un danışmanlığı, kullanılabilirlik odaklı güvenlik açıklarının bile iş dayanıklılığını korumak için proaktif hafifletme gerektirdiği gelişen tehdit manzarasının altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!