Palo Alto Networks kullanıcı-ID kimlik bilgisi aracısında yeni açıklanan bir güvenlik açığı, Windows sistemlerinde hizmet hesabı şifrelerinin, bazı varsayım dışı yapılandırmalar altında açık metin olarak açıklanmasına olanak tanır.
CVE-2025-4235 olarak izlenen kusur, 4.2 (orta) bir CVSS taban skoru taşır ve orta derecede acil bir seviyeye atanmıştır.
Palo Alto Networks, 10 Eylül 2025’te ayrıntıları ve rehberliği yayınladı ve kullanıcılara potansiyel ayrıcalık artış ve hizmet kesintilerini önlemek için azaltma veya hafifletme uygulamalarını tavsiye etti.
Güvenlik açığına genel bakış
User-ID kimlik bilgisi aracısı, Active Directory kullanıcı eşlemelerini güvenlik duvarı politikalarına entegre etmek için hizmet hesabı kimlik bilgilerini toplar ve yönetir.
Belirli özel yapılandırmalar kapsamında, ayrıcalıksız bir etki alanı kullanıcısı, hizmet hesabı şifresini doğrudan aracının dosyalarından veya belleğinden temiz metin olarak alabilir.
| Alan | Tanım |
| CVE tanımlayıcısı | CVE-2025-4235 |
| Şiddet | 4.2 (Orta) |
| Aciliyet | Ilıman |
Başarılı sömürü, bir saldırganın aracı hizmetini kaldırmasını veya devre dışı bırakmasını, kimlik bilgisi filtrelerine dayanan ağ güvenlik politikalarını tehlikeye atmasını veya hesap haklarına bağlı olarak ayrıcalıkları daha da artırmasını sağlayabilir.
Kusur, Windows’ta 11.0.3’ten önce User-ID kimlik bilgisi aracısının tüm sürümlerini etkiler. 11.0.2-133’ten 11.0.3’ten az sürümler ve 11.0.2-133’ten eski sürümler etkilenir.
Palo Alto Networks, hizmet hesabı sunucu operatörü veya etki alanı birleştirme gibi rolleri tuttuğunda, bir saldırganın sunucuları kontrol etmek, haydut bilgisayar nesneleri oluşturmak veya ağ keşif yapmak için açık metin kimlik bilgilerini kullanabileceğinde yüksek risk atar.
CVE-2025-4235’in sömürülmesi değişen etki seviyelerine neden olabilir:
- Minimal ayrıcalıklı hesaplar, kimlik bilgisi operasyonlarını bozabilir, potansiyel olarak kimlik avı önleme ve URL filtreleme politikalarını zayıflatabilir.
- Yüksek hizmet hesapları, etki alanı denetleyicileri üzerinde bir saldırgan kontrolü verebilir, bu da kapatma, yeniden başlatma ve etki alanı manipülasyonuna izin verebilir.
- Ağ politikası uygulanması atlanabilir veya bozulabilir, bu da yanal hareket ve keşif faaliyetlerine daha fazla maruz kalmaya yol açabilir.
Vahşi doğada aktif istismarların raporu yoktur ve sömürü olgunluk bildirilmez.
Bununla birlikte, sadece yerel saldırı vektörü düşük karmaşıklık ve gerekli kullanıcı etkileşimi ile birleştiğinde, bu kusuru iç tehdit aktörleri veya tehlikeye atılmış ana bilgisayarlar için cazip hale getirir.
Kurtarma, etkilenen sistemlerde manuel kullanıcı düzeyinde eylemler gerektirir ve yerel erişim ihtiyacı göz önüne alındığında otomatik istismar araçları olası değildir.
Azaltma ve önerilen eylemler
Palo Alto Networks, CVE-2025-4235’i ele almak için aşağıdaki adımları önerir:
Yükseltme Yolu
- Bu sürümler savunmasız kodu içermediğinden, kullanıcı-ID kimlik bilgisi aracısı 11.0.0 ila 11.0.1-104 ile çalıştıran sistemler hiçbir işlem gerektirmez.
- 11.0.0 sürümündeki aracılar, Windows’ta 11.0.3 veya daha sonraki olarak güncellenmelidir.
- 11.0.2-133 sürümündeki temsilciler de 11.0.3 veya üstüne yükseltilmelidir.
Yukarıdaki yükseltme veya sertleştirme önlemlerini uygulayarak kuruluşlar, metin şifresine maruz kalmayı ortadan kaldırabilir ve güvenlik duvarı politikalarıyla Active Directory entegrasyonunun bütünlüğünü koruyabilir.
Hizmet hesabı izinlerinin sürekli olarak gözden geçirilmesi ve en az müstehcenlik ilkelerine bağlılık, bu ve benzer güvenlik açıkları yoluyla ayrıcalık artış riskini daha da azaltacaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.