Kritik bir ayrıcalık artış kırılganlığını yamamayı amaçlayan yeni bir Microsoft güvenlik güncellemesi, yanlışlıkla yeni ve önemli bir kusur getirdi.
Düzeltme artık uygulayıcı olmayan kullanıcıların gelecekteki tüm Windows güvenlik güncellemelerini etkili bir şekilde engellemelerini sağlayarak bir hizmet reddi durumu oluşturuyor.
Yamanın bu istenmeyen sonucu, yazılım güvenliğinin karmaşıklıklarını ve öngörülemeyen güvenlik açıklarını önlemenin sürekli zorluğunu vurgulamaktadır.
.png
)
SymLink Güvenlik Açığı ve Microsoft’un Düzeltmesi
Nisan 2025’te Microsoft, CVSS 3.1 puanı 7.8 ile “önemli” olarak derecelendirilen bir güvenlik açığı olan CVE-2025-21204’ü ele almak için güvenlik güncellemelerini yayınladı.
Kusur, yetkili bir saldırganın yerel olarak ayrıcalıkları artırmasına izin veren Windows güncelleme yığınındaki dosya erişiminden önce uygunsuz bağlantı çözünürlüğünü (‘bağlantı takip’) içeriyordu.
Bu güvenlik açığını azaltmak için Microsoft, İnternet Bilgi Hizmetleri’nin (IIS) yüklenip yüklenmediğine bakılmaksızın, tüm Windows sistemlerinin sistem sürücüsünde “InetPub” adlı bir klasör oluşturan bir düzeltme uyguladı.
Microsoft, güvenlik geliştirmesinin ayrılmaz bir parçası olduğu için kullanıcıları bu klasörü silmemeleri konusunda açıkça uyardı.
Yeni DOS güvenlik açığı
Güvenlik araştırmacısı Kevin Beaumont, bu düzeltmenin, yönetici olmayan kullanıcıların Windows güvenlik güncellemelerini kalıcı olarak engellemesine izin veren bir hizmet reddi güvenlik açığı getirdiğini keşfetti.
Beaumont, basit bir komut satırı işlemi ile kullanıcıların güncelleme mekanizmasını bozan bir bağlantı noktası (Windows’ta bir tür dosya sistemi yeniden yönlendirme) oluşturabileceğini buldu.
“Admin olmayan (ve yönetici) kullanıcılar C’de kavşak noktaları oluşturabilirler:” Beaumont araştırmasında açıkladı. Sömürü yöntemi, standart kullanıcı ayrıcalıklarından ve temel komut satırı erişiminden başka bir şey gerektirmez.
Güvenlik açığı, korunan InetPub klasörü ile bir sistem dosyası arasında sembolik bir bağlantı oluşturan basit bir komutla kullanılabilir:
Bu komut, C: \ inetpub’ı Windows Not Defteri olarak yönlendiren bir kavşak oluşturur. Bu kavşak oluşturulduktan sonra, Windows Update klasörle etkileşime girmeye çalışırken hatalarla karşılaşır ve güncellemelerin başarısız olmasına veya geri dönmesine neden olur.
Beaumont, “Bu noktadan sonra, Nisan 2025 Windows OS güncellemesi (ve Microsoft düzeltmedikçe gelecekteki güncellemeler) yükleyemiyorlar – hata ve/veya geri dönüyorlar. Bu yüzden sadece güvenlik güncellemeleri olmadan gidiyorsunuz” dedi.
Bu kırılganlığın en ilgili yönü, sömürmek için idari ayrıcalıklar gerektirmemesidir.
Standart kullanıcılar, bu kavşak noktalarını varsayılan olarak yapılandırılmış birçok sistemde oluşturabilir ve kritik güvenlik güncellemelerinin sistem çapında yüklenmesini önleyebilir.
Bu sadece geçici bir hizmet reddi değildir – birisi kavşağı manuel olarak çözene veya sistemi yeniden yükleyene kadar devam eden kalıcı bir konudur.
Güvenlik uzmanları, bunun sistemleri diğer istismarlara karşı savunmasız tutmak isteyen kötü amaçlı yazılım veya kötü amaçlı aktörler tarafından kolayca yazılabileceği ve dağıtılabileceği konusunda uyarıyor.
Beaumont, bulgularını yaklaşık iki hafta önce Microsoft’un Güvenlik Müdahale Merkezi’ne bildirdi, ancak henüz bir yanıt almadı.
Microsoft bu sorunu ele alana kadar, sistem yöneticilerine alışılmadık kavşak noktaları için sistem sürücüsünü izlemeleri tavsiye edilir.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.