Microsoft, 2025’e, saldırılarda aktif olarak yararlanılan üç sıfır gün de dahil olmak üzere, yazılım portföyünde toplam 161 güvenlik açığına yönelik yeni bir yama seti ile başladı.
161 kusurdan 11’i Kritik, 149’u ise Önemli olarak derecelendirildi. Windows Güvenli Önyükleme atlamasıyla (CVE-2024-7344) ilgili Microsoft olmayan bir CVE olan diğer bir kusura herhangi bir önem derecesi atanmamıştır. Sıfır Gün Girişimi’ne göre güncelleme, en az 2017’den bu yana tek bir ayda ele alınan en fazla CVE sayısına işaret ediyor.
Düzeltmeler, Aralık 2024 Salı Yaması güncellemelerinin yayınlanmasından bu yana Windows üreticisinin Chromium tabanlı Edge tarayıcısında giderdiği yedi güvenlik açığına ek olarak geliyor.
Microsoft tarafından yayımlanan yamalar arasında öne çıkanlar, şirketin söylediği Windows Hyper-V NT Çekirdek Entegrasyonu VSP’deki (CVE-2025-21333, CVE-2025-21334 ve CVE-2025-21335, CVSS puanları: 7,8) üçlü kusurdur. vahşi doğada aktif olarak sömürülüyor –
Şirket, üç güvenlik açığına ilişkin bir danışma belgesinde “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, SİSTEM ayrıcalıkları kazanabilir” dedi.
Her zamanki gibi bu eksikliklerin nasıl ve hangi bağlamda istismar edildiği henüz bilinmiyor. Microsoft ayrıca kendilerini silahlandıran tehdit aktörlerinin kimliğinden veya saldırıların ölçeğinden de bahsetmiyor.
Ancak Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, bunların ayrıcalık yükseltme hataları olduğu göz önüne alındığında, büyük ihtimalle saldırganın hedef sisteme başka yollarla erişim sağladığı uzlaşma sonrası faaliyetin bir parçası olarak kullanıldıklarına dikkat çekti. .
“Sanallaştırma Hizmet Sağlayıcısı (VSP), bir Hyper-V örneğinin kök bölümünde bulunur ve Sanal Makine Veri Yolu (VMBus) üzerinden alt bölümlere sentetik cihaz desteği sağlar: Hyper-V’nin alt bölümün Rapid7’nin Baş Yazılım Mühendisi Adam Barnett, The Hacker News’e yaptığı açıklamada, bunun gerçek bir bilgisayar olduğunu düşünerek kendini kandırdığını söyledi.
“Her şeyin bir güvenlik sınırı olduğu göz önüne alındığında, bugüne kadar Microsoft tarafından hiçbir Hyper-V NT Çekirdek Entegrasyonu VSP güvenlik açığının kabul edilmemiş olması şaşırtıcı olabilir, ancak şimdi daha fazlasının ortaya çıkması hiç de şaşırtıcı olmayacaktır.”
Windows Hyper-V NT Çekirdek Entegrasyonu VSP’nin kötüye kullanılması, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) bunları Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna eklemesiyle sonuçlandı ve federal kurumların düzeltmeleri 4 Şubat 2025’e kadar uygulaması gerekiyor.
Ayrı bir gelişmede Redmond, hatalardan beşinin kamuya açık olduğu konusunda uyardı:
Bir NTLM karmasının uygunsuz bir şekilde ifşa edilmesine yol açabilecek CVE-2025-21308’in daha önce 0patch tarafından CVE-2024-38030 için bir bypass olarak işaretlendiğini belirtmekte fayda var. Güvenlik açığına yönelik mikro yamalar Ekim 2024’te yayınlandı.
Öte yandan, Microsoft Access sorunlarının üçü de yapay zeka destekli bir güvenlik açığı keşif platformu olan Unpatched.ai’ye atfedildi. Action1 ayrıca, kusurların uzaktan kod yürütme (RCE) güvenlik açıkları olarak sınıflandırılmasına rağmen, istismarın bir saldırganın kullanıcıyı özel hazırlanmış bir dosyayı açmaya ikna etmesini gerektirdiğini de belirtti.
Güncelleme aynı zamanda beş Kritik önem derecesindeki kusuru kapatmasıyla da dikkat çekiyor:
- CVE-2025-21294 (CVSS puanı: 8,1) – Microsoft Digest Kimlik Doğrulamasında Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-21295 (CVSS puanı: 8,1) – SPNEGO Genişletilmiş Anlaşma (NEGOEX) Güvenlik Mekanizması Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-21298 (CVSS puanı: 9,8) – Windows Nesne Bağlama ve Katıştırma (OLE) Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-21307 (CVSS puanı: 9,8) – Windows Güvenilir Çok Noktaya Yayın Aktarım Sürücüsü (RMCAST) Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-21311 (CVSS puanı: 9,8) – Windows NTLM V1 Ayrıcalık Yükselmesi Güvenlik Açığı
Microsoft, CVE-2025-21298 bülteninde “Bir e-posta saldırısı senaryosunda, bir saldırgan kurbana özel hazırlanmış e-posta göndererek bu güvenlik açığından yararlanabilir.” dedi.
“Güvenlik açığından yararlanılması, kurbanın Microsoft Outlook yazılımının etkilenen bir sürümünü içeren özel hazırlanmış bir e-postayı açmasını veya kurbanın Outlook uygulamasının özel hazırlanmış bir e-postanın önizlemesini görüntülemesini içerebilir. Bu, saldırganın kurbanın bilgisayarında uzaktan kod çalıştırmasına neden olabilir. makine.”
Bu kusura karşı korunmak için kullanıcıların e-posta mesajlarını düz metin biçiminde okuması önerilir. Ayrıca kullanıcıların RTF Dosyalarını bilinmeyen veya güvenilmeyen kaynaklardan açma riskini azaltmak için Microsoft Outlook kullanılmasını da tavsiye ediyor.
Qualys Tehdit Araştırma Birimi güvenlik açığı araştırması yöneticisi Saeed Abbasi, “SPNEGO Genişletilmiş Müzakere (NEGOEX) güvenlik mekanizmasındaki CVE-2025-21295 güvenlik açığı, kimliği doğrulanmamış saldırganların etkilenen sistemlerde kullanıcı etkileşimi olmadan uzaktan kötü amaçlı kod çalıştırmasına olanak tanıyor.” dedi.
“Saldırı karmaşıklığının (AC:H) yüksek olmasına rağmen, başarılı bir şekilde istismar edilmesi, temel güvenlik mekanizması katmanını zayıflatarak kurumsal altyapıyı tamamen tehlikeye atabilir ve potansiyel veri ihlallerine yol açabilir. Geçerli bir kimlik bilgisi gerekmediğinden, yaygın etki riski önemlidir; acil yamalara ve dikkatli hafifletmeye ihtiyaç var.”
CVE-2025-21294 ile ilgili olarak Microsoft, kötü bir aktörün, özet kimlik doğrulaması gerektiren bir sisteme bağlanarak, bir serbest kullanımdan sonra kullanım senaryosu oluşturmak için bir yarış koşulunu tetikleyerek ve ardından isteğe bağlı kod yürütmek için bundan yararlanarak bu güvenlik açığından başarıyla yararlanabileceğini söyledi. .
Immersive Labs siber güvenlik mühendisi Ben Hopkins, “Microsoft Digest, bir sunucu bir istemciden ilk sorgulama yanıtını aldığında ilk kimlik doğrulamayı gerçekleştirmekten sorumlu uygulamadır” dedi. “Sunucu, istemcinin kimliğinin henüz doğrulanmadığını kontrol ederek çalışıyor. CVE-2025-21294, saldırganların uzaktan kod yürütme (RCE) elde etmesi için bu sürecin istismar edilmesini içeriyor.”
Suistimal edilme olasılığı daha yüksek olarak etiketlenen güvenlik açıkları arasında, Windows BitLocker’ı (CVE-2025-21210, CVSS puanı: 4,2) etkileyen ve bir saldırganın hazırda bekletme modundaki görüntülerin düz metin olarak kurtarılmasına izin verebilecek bir bilginin açığa çıkması kusuru yer almaktadır. kurban makinenin sabit diskine fiziksel erişim sağlayabiliyor.
Immersive Labs tehdit araştırması kıdemli direktörü Kev Breen, “Hazırda bekletme görüntüleri, bir dizüstü bilgisayar uyku moduna geçtiğinde kullanılır ve cihazın gücü kapatıldığı anda RAM’de depolanan içeriği içerir.” dedi.
“RAM, açık belgelerde veya tarayıcı oturumlarında bulunabilecek hassas verileri (şifreler, kimlik bilgileri ve PII gibi) içerebileceğinden ve tümü hazırda bekletme dosyalarından ücretsiz araçlarla kurtarılabileceğinden, bu önemli bir potansiyel etki sunuyor.”
Diğer Satıcıların Yazılım Yamaları
Microsoft’un yanı sıra, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı: