Microsoft’un Windows 10 desteğini resmen sona erdirdiği gün, saldırganların eski Windows işletim sistemini hedeflemek için kullanabileceği birkaç sıfır gün kusurunun bulunduğu Salı Yaması güncellemesiyle aynı zamana denk geldi.
Bunların arasında, Microsoft’un Windows’tan tamamen kaldırdığı eski bir aygıt sürücüsünü kapsayan CVE-2025-24990 da yer alıyor. Immersive’in baş siber güvenlik mühendisi Ben McCarthy, “Agere Modem sürücüsünde (ltmdm64.sys) CVE-2025-24990’ın aktif olarak kullanılması, eski bileşenlerin modern işletim sistemlerinde korunmasının güvenlik risklerini gösteriyor” diye uyardı.
“1990’ların sonu ve 2000’lerin başındaki donanımları destekleyen bu sürücü, mevcut güvenli geliştirme uygulamalarından öncesine dayanıyor ve yıllardır büyük ölçüde değişmeden kaldı” dedi. “Çekirdek modu sürücüleri en yüksek sistem ayrıcalıklarıyla çalışıyor ve bu da onları, erişimlerini artırmak isteyen saldırganların birincil hedefi haline getiriyor.”
McCarthy, tehdit aktörlerinin bu güvenlik açığını operasyonlarının ikinci aşaması olarak kullandıklarını söyledi. “Saldırı zinciri tipik olarak aktörün, kimlik avı kampanyası, kimlik bilgileri hırsızlığı gibi yaygın yöntemlerle veya halka açık bir uygulamadaki farklı bir güvenlik açığından yararlanarak hedef sistemde ilk tutunma noktasını kazanmasıyla başlar” dedi.
McCarthy, Microsoft’un bir yama yayınlamak yerine sürücüyü tamamen kaldırma kararının, desteklenmeyen, üçüncü taraf eski kodların değiştirilmesiyle ilişkili risklere doğrudan bir yanıt olduğunu ekledi. “Böyle bir bileşene yama yapma girişimleri güvenilmez olabilir, potansiyel olarak sistem istikrarsızlığına neden olabilir veya güvenlik açığının temel nedeninin tamamen ele alınmasında başarısız olabilir” dedi.
Sürücüyü Windows işletim sisteminden kaldırırken McCarthy, Microsoft’un mutlak geriye dönük uyumluluk yerine saldırı yüzeyini azaltmaya öncelik verdiğini söyledi. “Savunmasız ve eski bileşenin kaldırılmasıyla, bu özel istismarın potansiyeli sıfırdır” dedi. “Sürücünün oluşturduğu güvenlik riskinin, hizmet verdiği eski donanımı desteklemeye devam etme gereksiniminden daha büyük olduğu belirlendi.”
McCarthy, bu yaklaşımın etkili bir güvenlik stratejisinin eski kodun yaşam döngüsü yönetimini de içermesi gerektiğini gösterdiğini söyledi; burada kaldırma işlemi genellikle yama yapmaktan daha kesin ve güvenlidir.
Yamalanmakta olan bir başka sıfır gün kusuru, Trusted Computing Group’un (TCG) Güvenilir Platform Modülü ile ilgilidir. Rapid7’nin baş yazılım mühendisi Adam Barnett, CVE-2025-2884 kusurunun TPM 2.0 referans uygulamasıyla ilgili olduğunu ve bunun normal koşullar altında muhtemelen her üretici tarafından alt uygulamada çoğaltılmasının muhtemel olduğunu belirtti.
“Microsoft, TCG’nin kurucu üyesi olduğu ve bu nedenle muhtemelen yayınlanmadan önce keşiften haberdar olduğu yönündeki tuhaf duruma rağmen, Microsoft bunu sıfır gün olarak ele alıyor” dedi. “Windows 11 ve Windows Server’ın daha yeni sürümleri yamalar alıyor. Yamalar yerine, Windows 10 ve Server 2019 gibi eski Windows ürünlerinin yöneticileri, Microsoft’un herkesin yükseltme yapmasını şiddetle tercih edeceğine dair başka bir örtülü hatırlatma alıyor.”
“Kritik” olarak sınıflandırılan yamalardan biri o kadar derin bir etkiye sahip ki, bazı güvenlik uzmanları BT departmanlarına hemen yama yapmalarını tavsiye ediyor. McCarthy, Microsoft Grafik Bileşeni’ndeki CVE-2025-49708 kritik güvenlik açığının, “ayrıcalık yükselmesi” güvenlik sorunu olarak sınıflandırılmasına rağmen, gerçek dünyada ciddi bir etkiye sahip olduğu konusunda uyardı.
“Tam bir sanal makine [VM] kaçış” dedi. “CVSS puanı 9,9 olan bu kusur, konuk sanal makine ile ana bilgisayar işletim sistemi arasındaki güvenlik sınırını tamamen yerle bir ediyor.”
McCarthy, kuruluşları bu güvenlik açığını düzeltmeye öncelik vermeye çağırdı çünkü bu, sanallaştırmanın temel güvenlik vaadini geçersiz kılıyor.
“Başarılı bir istismar, tek, kritik olmayan bir konuk VM’ye düşük ayrıcalıklı erişim elde eden bir saldırganın doğrudan temeldeki ana sunucu üzerinde sistem ayrıcalıklarıyla kodu çalıştırabileceği ve çalıştırabileceği anlamına gelir” dedi. “Bu izolasyon başarısızlığı, saldırganın, görev açısından kritik etki alanı denetleyicileri, veritabanları veya üretim uygulamaları da dahil olmak üzere aynı ana bilgisayar üzerinde çalışan diğer tüm VM’lerdeki verilere erişebileceği, bunları değiştirebileceği veya yok edebileceği anlamına geliyor.”