Zeroplayer olarak bilinen bir tehdit aktörünün, Microsoft Office ve Windows sistemlerini yeraltı bilgisayar korsanlığı forumlarında satılık olarak hedef alan, sanal alan kaçışıyla birlikte sıfır gün uzaktan kod yürütme (RCE) güvenlik açığını listelediği bildirildi.
Fiyatı 30.000 ABD doları olan bu açıktan yararlanmanın, en son sürümler de dahil olmak üzere çoğu Office dosya biçiminde çalıştığı ve tamamen yamalı Windows kurulumlarını etkilediği iddia ediliyor.
Bu gelişme, saldırganların Microsoft’un güçlü sanal alan korumalarını aşmasına ve minimum kullanıcı etkileşimiyle rastgele kod yürütmesine olanak verebileceğinden siber güvenlik topluluğunda alarmlara neden oluyor.
Önde gelen bir bilgisayar korsanlığı forumunda Rusça olarak yayınlanan reklam, güvenlik açığını, kötü amaçlı Office belgeleri aracılığıyla yükleri iletebilen, yüksek etkili, 0 günlük bir kapasite olarak tanımlıyor.
Zeroplayer, istismar zincirinin uzaktaki saldırganların Office sanal alanından kaçmasına olanak sağladığını iddia ediyor; bu, potansiyel olarak zararlı kodları izole etmek ve Windows’ta tam sistem güvenliğini aşmak için tasarlanmış kritik bir güvenlik özelliğidir.
Teslim yöntemleri, istismarın, kimlik avı e-postaları veya güvenliği ihlal edilmiş web siteleri yoluyla dağıtılabilen Word veya Excel belgeleri gibi yaygın dosya türlerine yerleştirilmesini içerir.
Hacker Forum Listesinin Detayları
Satıcı, antivirüs araçlarının algılamasını azaltmak için son güncellemelerle uyumluluğu vurgulayarak gösteriler ve kavram kanıtlama ayrıntıları için özel mesajlar davet ediyor.
Bu Zeroplayer’ın istismar pazarına ilk girişi değil; aktör daha önce Temmuz 2025’te 80.000 $ karşılığında bir WinRAR sıfır gün RCE’si sunmuştu; bu, yaygın olarak kullanılan üretkenlik ve arşivleme yazılımlarını hedefleme modelinin altını çiziyordu.
Bu tür satışlar, istismarların kamuya açıklanmadan veya yama yapılmadan önce yüksek fiyatlar getirdiği sıfır günler için kazançlı yeraltı ekonomisinin altını çiziyor.
Microsoft’un Kasım 2025 Salı Yaması, Office’teki çok sayıda kritik RCE kusurunu ele aldı; bunlar arasında, kötü amaçlı belgeler yoluyla yararlanılabilen bir ücretsiz kullanım sonrası güvenlik açığı olan CVE-2025-62199 da vardı.
Bununla birlikte, bu yama bilinen sorunlara odaklandı ve iddia edilen bu 0 güne atıfta bulunmadı; bu da onun yamasız kaldığını ve sanal alandan kaçış bileşeni nedeniyle potansiyel olarak daha tehlikeli olduğunu öne sürdü.
Sandbox kaçışları, Office’in makro tabanlı saldırılara karşı birincil savunmalarından birini etkisiz hale getirerek kötü amaçlı yazılımların ağlar arasında yanal olarak yayılmasına izin verdiği için özellikle endişe vericidir.
Uzmanlar, bu listeye ev sahipliği yapan forum gibi Rusça forumların genellikle devlete bağlı veya fırsatçı tehdit aktörleri için merkez görevi gördüğünü ve bu tür istismarları fidye yazılımı, casusluk veya veri hırsızlığı için silah haline getirebileceklerini belirtiyor.
CVE-2023-36884’ün 2023’te Rus Storm-0978 grubu tarafından kullanılması gibi geçmişteki benzer olaylar, RCE Ofisinin Batılı hedeflere karşı arka kapı konuşlandırılmasını içeriyordu.
Bu 0 günün potansiyel etkisi, özellikle Microsoft 365’e bağımlı olan kuruluşlar için önemlidir. Saldırganlar, uç nokta algılama yanıtlarından kaçarak tedarik zincirlerini tehlikeye atmak veya hedefe yönelik izinsiz girişler gerçekleştirmek için bundan yararlanabilir.
Office’in dünya çapında 1,4 milyardan fazla cihazda her yerde mevcut olduğu göz önüne alındığında, yama yapılmamış sistemler hedef odaklı kimlik avı yoluyla enfeksiyona yakalanma riskiyle karşı karşıyadır.
Kuruluşlar, Office ilkelerinde makroyu devre dışı bırakmaya öncelik vermeli, tüm belgeler için Korumalı Görünümü etkinleştirmeli ve gelişmiş tehdit koruma araçlarını dağıtmalıdır.
Anormal forum etkinliğinin izlenmesi ve yakında gelecek yamaların acilen uygulanması tavsiye edilir; çünkü Microsoft, kötüye kullanım kanıtı ortaya çıkması durumunda düzeltmeleri hızlandırabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
