Bir tehdit aktörünün hedeflenen bir sistemde uzaktan kod yürütülmesine (RCE) ulaşmasına izin verebilecek sekizden az kritik kusur, Microsoft’un Ağustos Yaması Salı güncellemesinde listelenmiştir ve bu da bir kez daha 100’den fazla ortak güvenlik açıkına ve maruziyetinde (CVES) başlar.
DirectX grafik çekirdeği, GDI+, hiper-v, mesaj kuyruğu, ofis ve kelime gibi çeşitli Microsoft ürün ve hizmetlerinde meydana gelen kritik RCE hatalarının yanı sıra, Windows NTLM’de yalnız bir ayrıcalık (EOP) kusuru, hiper-v ve esih hiper-hiper-hiper-hiper-hiper-korsanlık, hiper-v ve hiper-hiper-hiper-hiper-hiper-güvenlik açığıdır.
En son aylık düşüş, tam sıfır gün istismarları içermez, Windows Kerberos, CVE-2025-53779’da bir EOP güvenlik açığı içermez.
Bu, Kerberos’un Windows Server 2025’teki nispeten yeni devredilen yönetilen hizmet hesabı (DMSA) özelliğini işlerken yol girdilerini yanlış doğruladığı bir yol geçiş kusurundan kaynaklanır. Bu, bir saldırganın ayrıcalıklı hesapları taklit etmesini, yönetici ayrıcalıklarını taklit etmesini ve potansiyel olarak aktif olarak kontrol kazanmasını sağlar.
Ancak bunu yapmak için DMSA’nın belirli özelliklerine daha yüksek erişime sahip olmaları gerekir, bu nedenle Microsoft’a göre sömürünün daha az olasıdır.
Bu, Action1’in başkanı ve kurucu ortağı Mike Walters, CVE-2025-53779’dan gelen tehlikenin, diğer tekniklerle ve bu nedenle karmaşık aktif direktory ortamlarına sahip büyük kuruluşların ve bankalar, hükümet kurumları veya hastaneler gibi yüksek riskli hedeflere dayanan büyük kuruluşların büyüdüğünü söyledi.
Walters, “Kerberos gibi bir temel kimlik doğrulama bileşeninde bir yol geçiş sorununun birleşimi ve potansiyel yüksek etkisi söz konusudur” dedi.
“Yüksek ayrıcalıklara duyulan ihtiyaç yanlış bir güvenlik duygusu yaratabilir, çünkü bu haklarla ilgili hesaplar merkezi olmayan BT ortamlarında yaygındır. Bir kez tehlikeye girdikten sonra, tam alan adı devralmasına neden olabilirler.
“Fonksiyonel istismar kodunun varlığı, saldırganların Microsoft’un değerlendirmesine rağmen bu kusurları takip edebileceği anlamına geliyor. Çekirdek kimlik doğrulama mekanizmalarındaki güvenlik açıkları, özellikle yüksek değerli ortamları hedeflemede gelişmiş saldırı zincirlerine cazip eklemelerdir” diye uyardı.
SharePoint kusurları ele alınmalıdır
Kapsamlarında daha az tehlikeli olmasına rağmen, savunucular SharePoint, CVE-2025-53760’daki EOP ve CVE-2025-49712’de RCE’yi sağlayan bir çift güvenlik açıkına da dikkat etmek isteyebilirler.
Bunlar, SharePoint’teki sözde araç köyü güvenlik açıklarının topuklarında sıcak geliyor-ki bu o kadar ciddiydi ki, Temmuz ayında senkronize olmayan bir yama aldılar ve Çin bağlantılı tehdit aktörleri tarafından hükümet hedeflerine karşı kısa bir süre sonra sömürüldü.
Qualys Tehdit Birimi Güvenlik Araştırma Kıdemli Müdürü Saeed Abbasi, CVE-2025-49712’nin özellikle biraz endişe gerektirdiğini söyledi.
Abbasi, “Bu RCE kimlik doğrulaması talep ediyor, ancak bilinen kimlikatçılarla tehlikeli bir şekilde eşleşiyor” diye açıkladı.
“Bunu önceki kusurlarla zincirleyen saldırganlar tam sunucu uzlaşması ve veri açığa çıkması sağlayabilir. Henüz vahşi doğada sömürülmemiş, ancak tarih bunları hızlı bir şekilde gösteriyor. Maruz kalan SharePoint örnekleri yanal hareket için ana dayanaklardır.
Abbasi, “Tüm SharePoint güncellemelerine öncelik verin ve yama, anahtarları döndürün ve internet maruziyetini ortadan kaldırın. SharePoint’in istismar çizgisi bitmediğinden, düzenleyici incelemeyi ve ihlalleri geciktirme” diye ekledi Abbasi.