Microsoft, kötü niyetli bir aktörün belirli koşullar altında ayrıcalıklarını artırmasına izin verebilecek Azure AI Face Hizmetini ve Microsoft hesabını etkileyen iki kritik dereceli güvenlik kusurunu ele almak için yamalar yayınladı.
Kusurlar aşağıda listelenmiştir –
- CVE-2025-21396 (CVSS Puanı: 7.5) – Microsoft Hesap Ayrıcalık Güvenlik Açığı Yüksekliği
- CVE-2025-21415 (CVSS Puanı: 9.9) – Azure AI Yüz Servisi Ayrıcalık Güvenlik Açığı Yüksekliği
CVE-2025-21415 için bir danışmanda Microsoft, “Azure AI Face Service’de kimlik doğrulama baypas, bir ağ üzerinden ayrıcalıkları yükseltmesine izin veriyor.”
CVE-2025-21396 ise, yetkisiz bir saldırganın bir ağ üzerindeki ayrıcalıkları yükseltmesine izin verebilecek eksik bir yetkilendirme vakasından kaynaklanmaktadır. Sugobet takma adına giren bir güvenlik araştırmacısı, onu keşfettiği için kabul edildi.
Teknoloji devi ayrıca, CVE-2025-21415 için bir kavram kanıtı (POC) istismar kodunun varlığının farkında olduğunu ve her iki güvenlik açıkının da tamamen hafifletildiğini belirtti. Eksiklikler müşteri eylemi gerektirmez.
Tavsiyeler, müşterilerin bir yama yüklemeleri veya kendilerini güvence altına almak için başka işlemler yapması gerekip gerekmediğine bakılmaksızın, kritik bulut hizmeti güvenlik açıkları için CVES yayınlayarak Microsoft’un şeffaflığı artırma çabalarının bir parçasıdır.
Haziran 2024’te, “Endüstrimiz olgunlaştıkça ve giderek daha fazla bulut tabanlı hizmetlere göç ettikçe, bulunan ve sabitlenen önemli siber güvenlik güvenlik açıkları konusunda şeffaf olmalıyız.”
“Keşfedilen ve çözülen güvenlik açıkları hakkında açıkça bilgi paylaşarak Microsoft ve ortaklarımızın öğrenmelerini ve geliştirmelerini sağlıyoruz. Bu işbirlikçi çaba, kritik altyapımızın güvenliğine ve esnekliğine katkıda bulunuyor.”