Microsoft Yamaları 57 Güvenlik Kusurları, 6 aktif olarak sömürülen sıfır gün dahil

   Mart 12, 2025  Posted in TheHackerNews


12 Mart 2025Ravie LakshmananYama Salı / Güvenlik Açığı

Microsoft

Microsoft Salı günü, yazılımındaki 57 güvenlik açıklığını ele almak için güvenlik güncellemeleri yayınladı;

56 kusurdan altısı kritik olarak derecelendirilmiştir, 50’si önemlidir ve biri şiddet açısından düşük olarak derecelendirilmiştir. Adresli güvenlik açıklarının yirmi üçü uzaktan kod yürütme hatalarıdır ve 22’si ayrıcalık artışı ile ilgilidir.

Güncellemeler, Microsoft’un geçen ayki Patch Salı güncellemesinin piyasaya sürülmesinden bu yana, biri tarayıcıya özgü bir sahtekarlık kusuru olan (CVE-2025-26643, CVSS skoru: 5.4) piyasaya sürülen 17 güvenlik açığına ek olarak.

Aktif sömürü altına giren altı güvenlik açığı aşağıda listelenmiştir –

  • CVE-2025-24983 (CVSS Puanı: 7.0)-Yetkili bir saldırganın yerel olarak ayrıcalıkları yükseltmesine izin veren bir Windows Win32 Çekirdek Alt Sistem Kullanımdan Arık (UAF) güvenlik açığı
  • CVE-2025-24984 (CVSS Puanı: 4.6) – Bir Windows NTFS Bilgi Açıklama Güvenlik Açığı, bir hedef cihaza fiziksel erişimi olan bir saldırganın ve kötü niyetli bir USB sürücüsünü potansiyel olarak okumak için yığın belleği bölümlerini okumak için takma yeteneğine izin veren güvenlik açığı
  • CVE-2025-24985 (CVSS Puanı: 7.8) – Yetkisiz bir saldırganın kodu yerel olarak yürütmesine izin veren Windows Fast Fat Dosya Sistemi Sürücüsünde bir tamsayı taşma güvenlik açığı
  • CVE-2025-24991 (CVSS Puanı: 5.5)-Windows NTF’lerde yetkili bir saldırganın yerel olarak bilgileri ifşa etmesine izin veren sınır dışı okunan bir güvenlik açığı
  • CVE-2025-24993 (CVSS Puanı: 7.8) – Windows NTF’lerde, yetkisiz bir saldırganın yerel olarak kodu yürütmesine izin veren yığın tabanlı bir tampon taşma güvenlik açığı
  • CVE-2025-26633 (CVSS Puanı: 7.0) – Microsoft yönetim konsolunda, yetkisiz bir saldırganın yerel olarak bir güvenlik özelliğini atlamasına izin veren uygunsuz bir nötralizasyon kırılganlığı

CVE-2025-24983’ü keşfetme ve raporlama ile kredilendirilen ESET, ilk olarak Mart 2023’te Wild’daki sıfır gün istismarını keşfettiğini ve ödün verilen ana bilgisayarlarda Pipemagik adlı bir arka kapı aracılığıyla teslim edildiğini söyledi.

Siber güvenlik

Slovak şirketi, “Güvenlik açığı Win32k sürücüsünde kullanılmayan bir kullanımdır.” “WaitForInputIdle API kullanılarak elde edilen belirli bir senaryoda, W32 işlem yapısı olması gerektiğinden bir kez daha sertleşir, UAF’a neden olur. Güvenlik açığına ulaşmak için bir yarış koşulu kazanılmalıdır.”

İlk olarak 2022’de keşfedilen Pipemagic, Asya ve Suudi Arabistan’daki varlıkları hedefleyen eklenti tabanlı bir Truva atıdır ve kötü amaçlı yazılım, 2024’ün sonlarında sahte bir openai chatgpt uygulaması şeklinde dağıtılır.

“Pipemagik’in benzersiz özelliklerinden biri, \\. \ Boru \ 1 formatında adlandırılmış bir boru oluşturmak için 16 baytlık rastgele bir dizi üretmesidir.“Kaspersky Ekim 2024’te açıkladı.

“Bu boru, kodlanmış yükler almak için kullanılır, varsayılan yerel arabirim üzerinden durdurma sinyalleri. Pipemagik genellikle bu durumda Microsoft Azure’da barındırılan bir komut ve kontrol (C2) sunucusundan indirilen birden fazla eklenti ile çalışır.”

Sıfır günlük girişimi, CVE-2025-26633’ün MSC dosyalarının nasıl işlendiğinden kaynaklandığını ve bir saldırganın dosya itibar korumalarından kaçmasına ve geçerli kullanıcı bağlamında kod yürütmesine izin verdiğini belirtti. Etkinlik, EncryPthub olarak izlenen bir tehdit oyuncusu ile ilişkilendirilmiştir (AKA LARVA-208).

Action1, tehdit aktörlerinin, uzaktan kod yürütülmesine (CVE-2025-24985 ve CVE-2025-24993) ve bilgi açıklamasına (CVE-2025-24984 ve CVE-2025-24991) neden olmak için temel Windows dosya sistemi bileşenlerini etkileyen dört güvenlik açıkını zincirleyebileceğini belirtti. Dört böceğin hepsi anonim olarak bildirildi.

İndersife Tehdit Araştırma Kıdemli Direktörü Kev Breen, “Özellikle, istismar, kötü niyetli bir VHD dosyası hazırlayan ve bir kullanıcıyı bir VHD dosyasını açmaya veya monte etmeye ikna eden saldırgana dayanıyor.” Dedi. “VHD’ler sanal sabit disklerdir ve genellikle işletim sisteminin sanal makineler için depolanmasıyla ilişkilidir.”

“Sanal makinelerle daha tipik olarak ilişkilendirilse de, tehdit aktörlerinin AV çözümlerinden geçtikçe kötü amaçlı yazılım yüklerini kaçırmak için kimlik avı kampanyalarının bir parçası olarak VHD veya VHDX dosyalarını kullandıkları örnekler gördük. Bir VHD dosyasında çift tıklama, kapsayıcıyı monte etmek için yeterli olabilir.

Satnam Narang’a göre, Tenable’da kıdemli personel araştırma mühendisi, CVE-2025-26633, MMC’de CVE-2024-43572 ve CVE-2025-24985’ten sonra vahşi bir gün olarak sömürülen ikinci kusurdur.

Siber güvenlik

Geleneksel olduğu gibi, şu anda geri kalan güvenlik açıklarının, hangi bağlamda ve saldırıların tam ölçeğinden yararlandığı bilinmemektedir. Geliştirme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nı (CISA), federal ajansların 1 Nisan 2025 yılına kadar düzeltmeleri uygulamasını gerektiren bilinen sömürülen güvenlik açıkları (KEV) kataloğuna eklemesini sağladı.

Diğer satıcılardan yazılım yamaları

Microsoft’a ek olarak, son birkaç hafta içinde diğer satıcılar tarafından güvenlik açıklamaları, – dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için de yayınlandı.

Bu makaleyi ilginç mi buldunuz? Bizi takip edin Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link