Microsoft’un 124 Nisan’lık Mighty Paketi, kod tabanındaki ortak güvenlik açıkları ve maruziyetleri (CVES) için düzeltmeler, “kritik” ve iki dereceli “düşük” olarak derecelendirilmiş 11’i içerir ve geri kalanı “önemli” olarak derecelendirilir.
Sıfır Gün Girişimi’nden Dustin Childs, “bu böceklerden sadece birinin serbest bırakıldığı sırada kamuoyu bilinen veya aktif saldırı altında listelendiğini”, ancak bunun çok az rahatlık olacağını belirtti.
Bir blog yayınında Childs, güvenlik açığının Microsoft tarafından aktif saldırı altında listelendiğini söyledi: “Bu ayrıcalık artış hatası [CVE-2025-29824] … Bir tehdit oyuncunun kodlarını sistem ayrıcalıklarıyla yürütmesine izin verir. Bu tür hatalar genellikle bir sistemi ele geçirmek için kod yürütme hatalarıyla eşleştirilir. Microsoft, bu saldırıların ne kadar yaygın olduğuna dair hiçbir belirti vermiyor. ”
Diğer Bugs Childs’tan ikisi-CVE-2025-26663 ve CVE-2025-26670-“Uzaktan, yetkili olmayan bir saldırganın, özel olarak hazırlanmış bir LDAP göndererek etkilenen sistemlerde kodlarını yürütmesine izin verin [Lightweight Directory Access Protocol] Mesaj ”.“ Hemen hemen her şey bir LDAP hizmetine ev sahipliği yapabileceğinden, orada çok sayıda hedef var. Ve hiçbir kullanıcı etkileşimi söz konusu olmadığından, bu hatalar solunabilir. ” Solucanlanabilir, siber saldırının yayılması için hiçbir insan etkileşimi gerekmediği anlamına gelir.
Açıklanan Microsoft güvenlik açıklarının mevcut mahsulünden Rapid7 baş yazılım mühendisi Adam Barnett şunları söyledi: “Windows Ortak Günlük Dosyası Sistemi (CLFS) sürücüsü, sıfır gün yerel bir ayrıcalık savunmasızlığı olan CVE-2025-29824 ile bugün radarımıza geri döndü.”
Bu, Childs’in görevine birincil odaklanmaya başladığı güvenlik açığıdır.
Barnett şunları söyledi: “Birincisi, iyi haber: Teşekkürler Bölümü Microsoft Tehdit İstihbarat Merkezi’ne kredilendiriyor, bu nedenle istismar Microsoft tarafından başarıyla yeniden üretildi; daha az iyi haber, Microsoft’un istismarını ilk keşfetmek için ilk kez keşfedildiği, aksi takdirde Microsoft’un cve-2025-29824’ü vahşice kullanmayacak şekilde listelemeyeceği için, avantajı belirtmeyecek şekilde, sömürü, ama sistem olacak, çünkü bu diğer tüm CLF’lerin ödül [Common Log File System] İmtiyaz sıfır gün güvenlik açıklarının yükselmesi.
“Bir LDAP sunucusundan sorumlu savunucular-bu, önemsiz olmayan bir Microsoft ayak izine sahip hemen hemen her kuruluş anlamına gelir-yapılacaklar listelerine CVE-2025-26663 için yama eklemelidir. Hiçbir ayrıcalık gerekmeyecek, kullanıcı etkileşimine gerek yok, muhtemelen LDAP sunucusunun kendisi bağlamında, başarılı bir şekilde sömürülmenin herhangi bir saldırıya cazip bir kısaltması olacaktır.
Bu daha fazla dikkatli bir not ekledi: “LDAP sunucusunu gördüğünüzde bir rahatlama nefes alırsanız, CVE-2025-26663 gibi kritik RCE güvenlik açıklarını, çünkü mülkünüzde herhangi bir Windows LDAP sunucularınız olmadığından eminsiniz, LDAP istemcileri nasıl? [Remote Code Execution] LDAP istemcisinde, SSS kafa karıştırıcı bir şekilde sömürünün bir saldırganın ‘savunmasız bir LDAP sunucusuna özel olarak hazırlanmış istekler göndermesini’ gerektireceğini belirtmesine; Bu, Danışma SSS’de bir veri girişi hatası olabilir, bu yüzden danışmanlığın bu bölümünde bir güncelleme için dikkat edin. ”
Microsoft tarafından Nisan 2025 için yayınlanan CVES’in tam listesi burada bulunabilir.
CVES, Childs’ın numaralandırmasına, pencerelerine ve pencerelere, ofis ve ofis bileşenlerine göre, Azure, .NET ve Visual Studio, Bitlocker, Kerberos, Windows Hello, OpenSsh ve Windows Hafif Dizin Erişim Protokolüne göre kapsar.