Microsoft Yamaları Webdav Sıfır Gün dahil olmak üzere 67 güvenlik açığı Vahşi doğada sömürüldü

   Haziran 11, 2025  Posted in TheHackerNews


Webdav sıfır gün vahşi doğada sömürüldü

Microsoft, Web Dağıtılmış Yazarlık ve Sürüm (WebDAV) ‘deki bir sıfır gün hata da dahil olmak üzere 67 güvenlik kusurunu düzeltmek için yamalar yayınladı.

67 güvenlik açığından 11’i kritik olarak derecelendirilmiştir ve 56’sı şiddet açısından önemlidir. Bu, 26 uzaktan kod yürütme kusurları, 17 bilgi açıklama kusuru ve 14 ayrıcalık artış kusurunu içerir.

Yamalar, geçen ayki Patch Salı güncellemesinin piyasaya sürülmesinden bu yana şirket tarafından krom tabanlı kenar tarayıcısında ele alınan 13 eksikliğe ek olarak.

Gerçek dünya saldırılarında silahlandırılan güvenlik açığı, kullanıcıları özel olarak hazırlanmış bir URL’ye tıklamaya aldatarak tetiklenebilecek WebDAV (CVE-2025-33053, CVSS Puan: 8.8) ‘de uzak bir kod yürütme ile ilgilidir.

Teknoloji devi, hatayı keşfettikleri ve rapor ettikleri için Check Point araştırmacıları Alexandra Gofman ve David Driker’a kredilendirdi. CVE-2025-33053’ün WebDAV standardında açıklanacak ilk sıfır gün güvenlik açığı olduğunu belirtmek gerekir.

Ayrı bir raporda, siber güvenlik şirketi, CVE-2025-33053’ün kötüye kullanılmasını, saldırılarında Windows sıfır günlerinden yararlanma geçmişine sahip olan Stealth Falcon (aka Fuityarmor) olarak bilinen bir tehdit aktörüne bağladı. Eylül 2023’te, Hacking Grubu, Katar ve Suudi Arabistan’daki varlıklara yönelik bir casusluk kampanyasının bir parçası olarak Deadglif olarak adlandırılan bir arka kapı kullanılarak gözlendi.

Check Point, “Saldırı, aktör kontrollü bir WebDAV sunucusundan kötü amaçlı yazılım yürütmek için sıfır gün güvenlik açığından (CVE-2025-33053) kullanan bir .Url dosyası kullandı.” Dedi. “CVE-2025-33053, çalışma dizininin manipülasyonu yoluyla uzaktan kod yürütülmesine izin verir.”

Türkiye’de isimsiz bir savunma şirketine karşı gözlemlenen saldırı zincirinde, tehdit oyuncusunun CVE-2025-33053’ü kullandığı söyleniyor. Bir URL kısayol dosyası olan saldırıyı başlatmak için kullanılan kötü amaçlı yükün, bir kimlik avı e -postasında arşivlenmiş bir ek olarak gönderildiğine inanılmaktadır.

Siber güvenlik

URL dosyası, Internet Explorer için meşru bir teşhis yardımcı programı olan IediAgcmd.exe’yi başlatmak için kullanılır ve bir tuzak PDF belgesini sunmaktan ve Horus aracısını yürütmekten sorumlu olan Horus Loader adlı başka bir yükü başlatması için kullanılır.

Check Point, “C ++ ile yazılan implant, mit C2 iletişimiyle ilgili jenerik mantıktaki ortaklıkların yanı sıra, bilinen C tabanlı mit ajanları ile önemli bir örtüşme göstermiyor.” Dedi. Diyerek şöyle devam etti: “Yükleyici yükü korumak için bazı önlemler uyguladığından emin olsa da, tehdit aktörleri arka kapının kendisine ek önlemler aldı.”

Bu, analiz çabalarını karmaşıklaştırmak için dize şifrelemesi ve kontrol akışı düzleştirme gibi tekniklerin kullanımını içerir. Arka kapı daha sonra, sistem bilgilerini toplamasına, dosyaları ve klasörleri numaralandırmasına, sunucudan dosyaları indirmesine, kabuk kodunu çalıştırma işlemlerine enjekte etmesine ve programdan çıkmasına izin veren görevleri almak için uzak bir sunucuya bağlanır.

CVE-2025-33053 enfeksiyon zinciri

Horus ajanı, daha önce 2022 ve 2023 yılları arasında Stealth Falcon tarafından kullanıma sunulan efsanevi çerçeve için açık kaynaklı bir .NET ajanı olan özelleştirilmiş Apollo implantının bir evrimi olarak değerlendirildi.

Check Point, “Horus, Tehdit Grupları’nın C ++ ‘da yeniden yazılan özel Apollo implantının daha gelişmiş bir versiyonudur.” Dedi.

“Horus sürümüne benzer şekilde, Apollo sürümü, desteklenen komutların sayısını sınırlarken kapsamlı kurban parmak izleme yetenekleri sunar. Bu, tehdit aktörlerinin enfekte makinenin ve bir sonraki aşama yük teslimatının gizli tanımlanmasına odaklanmasını sağlarken, implant boyutunu tam ajandan önemli ölçüde daha küçük tutar (sadece 120KB).”

Şirket, tehdit oyuncusunun aşağıdakiler gibi daha önce belgelenmemiş birkaç araçtan yararlandığını da gözlemlediğini söyledi –

  • Active Directory ve Etki Alanı Denetleyicisini Çalmak İçin Zaten Kontromi Edilmiş Bir Etki Alan Denetleyicisini Hedefleyen Kimlik Bilgisi Damper, Kimlik Bilgileri ile İlgili Dosyalar
  • Gelen istekleri dinleyen ve Shellcode yüklerini yürüten pasif arka kapı
  • Tüm tuş vuruşlarını kaydeden ve bunları “C: /windows/temp/~tn%logname%.tmp” altındaki bir dosyaya yazan özel bir C ++ aracı olan KeyLogger

Keylogger, özellikle herhangi bir C2 mekanizmasından yoksundur, yani dosyayı saldırganlara ekleyebilen başka bir bileşenle birlikte çalışır.

Check Point, “Stealth Falcon, ticari kod gizleme ve koruma araçlarının yanı sıra farklı yük türleri için tasarlanmış özel modifiye sürümleri kullanıyor.” Dedi. “Bu, araçlarını tersine çevirmeyi zorlaştırıyor ve zaman içinde teknik değişiklikleri izlemeyi zorlaştırıyor.”

CVE-2025-33053’ün aktif sömürüsü, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nı (CISA), Federal Sivil Yürütme Şubesi (FCEB) ajanslarının 1 Temmuz 2025’e kadar düzeltmeyi uygulamasını gerektiren bilinen sömürülen güvenlik açıkları (KEV) kataloğuna eklemesini sağladı.

Eylem 1’in başkanı ve kurucu ortağı Mike Walters, “Bu kusuru özellikle ilgili kılan şey, uzaktan dosya paylaşımı ve işbirliği için kurumsal ortamlarda WebDAV’ın yaygın kullanımıdır.” Dedi. Diyerek şöyle devam etti: “Birçok kuruluş, genellikle tanıttığı güvenlik risklerini tam olarak anlamadan WebDAV’ı meşru iş ihtiyaçları için mümkün kılar.”

Microsoft tarafından çözülen en şiddetli güvenlik açığı, bir saldırganın bir ağ üzerindeki ayrıcalıklarını yükseltmesine izin verebilecek Power Automate (CVE-2025-47966, CVSS Puan: 9.8) ‘de bir ayrıcalık artış kusurudur. Ancak, hatayı azaltmak için hiçbir müşteri eylemi gerekmez.

Notun diğer güvenlik açıkları arasında ortak günlük dosya sistemi sürücüsünde (CVE-2025-32713, CVSS skoru: 7.8), Windows Netlogon (CVE-2025-33070, CVSS Skoru: 8.1) ve Windows SMB istemcisi (CVE-2025-33073, CVS skoru: 8.8), A ve Cons A, Acading, Acady’yi içerir. Windows KDC Proxy hizmetinde güvenlik açığı (CVE-2025-33071, CVSS Puan: 8.1).

Ben McCarthy, Immersive’ın baş siber güvenlik mühendisi Ben McCarthy, “Son birkaç ay içinde, CLFS sürücüsü, birden fazla fidye yazılımı operasyonundaki sömürü nedeniyle hem tehdit aktörleri hem de güvenlik araştırmacıları için tutarlı bir odak noktası haline geldi.” Dedi.

“Yığın bazlı bir tampon taşması-bir tür bellek bozulması güvenlik açığı olarak kategorize edilir. Saldırı karmaşıklığı düşük kabul edilir ve başarılı bir sömürü bir saldırganın ayrıcalıkları artırmasına izin verir.”

Rapid7 baş yazılım mühendisi Adam Barnett, CVE-2025-33071’in sömürülmesinin saldırganın bir şifreleme kusurundan yararlanmasını ve bir yarış koşulu kazanmasını gerektirdiğini söyledi.

“Kötü haber, Microsoft’un istismardan daha olası olduğunu düşündüğü ve bir KDC vekili, güvenilmeyen ağlardan gelen Kerberos taleplerinin, müşteriden alan denetleyicisine doğrudan bir TCP bağlantısına ihtiyaç duymadan güvenilir varlıklara daha kolay erişmesine yardımcı olduğu için, buradaki değiş tokuş, KDC proxy’nin etkileşime girmemiş bir ağa maruz kalması muhtemeldir.”

Son olarak, Microsoft, güvensiz yazılımın yürütülmesini sağlayan Binarly tarafından keşfedilen güvenli bir önyükleme bypass hatasını (CVE-2025-3052, CVSS puanı: 6.7) düzeltmek için yamalar da sundu.

Siber güvenlik

Redmond, “Bir saldırganın UEFI güvenli botu atlamasına izin veren bir Microsoft üçüncü taraf UEFI sertifikasıyla imzalanan bir UEFI uygulamasında bir güvenlik açığı var.” Dedi. “Bu güvenlik açığını başarıyla kullanan bir saldırgan güvenli botu atlayabilir.”

CERT Koordinasyon Merkezi (CERT/CC), Salı günü yayınlanan bir danışmanlıkta, güvenlik açığının DT Research’ten birleşik genişletilebilir ürün yazılımı arayüzü (UEFI) uygulamaları DTBIOS ve Biosflashshell’e dayandığını ve özel olarak hazırlanmış bir NVRAM değişkeni kullanarak güvenli önyükleme bypass’a izin verdiğini söyledi.

Cert/CC, “Güvenlik açığı, güvenli önyükleme doğrulaması için kullanılan Global Security2 mimari protokolü de dahil olmak üzere kritik ürün yazılımı yapılarını değiştirebilen keyfi bir yazma ilkel yazılmasını sağlayan bir çalışma zamanı NVRAM değişkeninin uygunsuz bir şekilde ele alınmasından kaynaklanıyor.” Dedi.

“Etkilenen uygulamalar Microsoft UEFI Sertifika Otoritesi tarafından imzalandığından, bu güvenlik açığı herhangi bir UEFI uyumlu sistemde kullanılabilir ve önyükleme işlemi sırasında imzasız kodun çalışmasına izin verir.”

Güvenlik açığının başarılı bir şekilde kullanılması, işletim sistemi yüklemeden önce bile imzasız veya kötü amaçlı kodların yürütülmesine izin verebilir ve potansiyel olarak saldırganların yeniden başlatmalardan kurtulabilecek ve hatta güvenlik yazılımlarını devre dışı bırakabilen kalıcı kötü amaçlı yazılımları bırakmasını sağlar.

Bununla birlikte, Microsoft, insydeh2o UEFI uygulamasında bulunan başka bir güvenli önyükleme baypas güvenlik açığı olan CVE-2025-4275’ten (diğer adıyla Hydroph0bia) etkilenmez (“SecureFlashcertData”) dijital sertifika enjeksiyonuna izin veren ve bu da, takvim düzeyindeki makul kodlu yürütme ile sonuçlanır.

CERT/CC, “Bu sorun, güven doğrulama zincirinde dijital bir sertifika için güvenilir depolama olarak kullanılan bir NVRAM değişkeninin güvenli olmayan kullanımından kaynaklanmaktadır.” Dedi. “Bir saldırgan kendi sertifikalarını bu değişkende depolayabilir ve daha sonra UEFI ortamındaki erken önyükleme işlemi sırasında keyfi ürün yazılımı (enjekte edilen sertifika tarafından imzalanmıştır) çalıştırabilir.”

Diğer satıcılardan yazılım yamaları

Microsoft’a ek olarak, son birkaç hafta içinde diğer satıcılar tarafından güvenlik açıklarını, – dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için de yayınlandı.

  • Adobe
  • Amazon Web Hizmetleri
  • AMD
  • Kol
  • Atlassian
  • Otomasyon
  • Bosch
  • Broadcom (VMware dahil)
  • Kanon
  • Cisco
  • Drip
  • Dell
  • Drupal
  • F5
  • Fortinet
  • Gitlab
  • Google Android ve Pixel
  • Google Chrome
  • Google Cloud
  • Hitachi Enerji
  • HP
  • HP Enterprise (Aruba Networking dahil)
  • IBM
  • İntel
  • İnsyde
  • İri
  • Jenkins
  • Ardıç Ağları
  • Lenovo
  • Linux Dağıtımları Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, Suse ve Ubuntu
  • MediaTek
  • Mitel
  • Mitsubishi Electric
  • Mox
  • Mozilla Firefox ve Thunderbird
  • Nvidia
  • Palo Alto Networks
  • Phoenix Technologies
  • Qnap
  • Qualcomm
  • Yuvarlak
  • Salesforce
  • SAMSUNG
  • Çukur
  • Schneider Electric
  • Siemens
  • Solarwinds
  • Sonikwall
  • Yaygara
  • Bahar Çerçevesi
  • Sinema
  • Trend Micro Apex Central, Apex One, Endpoint Şifreleme Policyserver ve WFBS
  • Veritas
  • Zimbra ve
  • Zoho Managine Exchange Reporter Plus ve Opmanager
Bu makaleyi ilginç mi buldunuz? Bizi takip et Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link