Yönetişim ve Risk Yönetimi, Yama Yönetimi
Binlerce Windows Server Güncelleme Hizmeti Çevrimiçi Olarak Gözlemlendi
Akşaya Asokan (asokan_akshaya) •
28 Ekim 2025
Bilgisayar korsanlarının Windows Sunucu Güncelleştirmesinden yararlandığına ilişkin uyarılar, Microsoft’un kimliği doğrulanmamış saldırganların rastgele kod yürütmesine olanak tanıyan bir kusura karşı Cuma günü aceleyle bir düzeltme eki yayınlamasıyla daha da arttı.
Ayrıca bakınız: Active Directory Masterclass | Bir Saldırgan Gibi Düşünün, Bir Profesyonel Gibi Savun
CVE-2025-59287 olarak takip edilen kusur, Windows Server Update Service’teki güvenilmeyen verilerin seri durumdan çıkarılmasıdır. Microsoft, kusurun kaynağını “eski serileştirme mekanizması” olarak tanımlıyor. Microsoft’un birçok güncellemesini yönetmeye yönelik bir araç olan Windows Server Update Services, artık aktif olarak geliştirilme aşamasında değildir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, güvenlik açığını Cuma günü Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna ekledi. Siber güvenlik firmaları Eye Security ve Palo Alto Networks Unit 42, aktif saldırılar gözlemlediklerini ve binlerce Windows Server Güncelleme Hizmetinin internete açık göründüğünü söylüyor. Birim 42, saldırıların keşif odaklı olduğunu ve muhtemelen “daha geniş ağ uzlaşmasının öncüsü” olduğunu belirtti.
Birim 42’deki tehdit istihbaratı araştırmasının kıdemli yöneticisi Justin Moore, saldırganın tek bir sunucuyu tehlikeye atarak tüm yama dağıtım sistemini ele geçirebileceğini ve potansiyel olarak dahili bir tedarik zinciri saldırısı gerçekleştirmek üzere sistem düzeyinde kontrol elde edebileceğini söyledi.
“Kötü amaçlı yazılımları kuruluştaki her iş istasyonuna ve sunucuya, meşru bir Microsoft güncelleştirmesi görünümü altında gönderebiliyorlar. Bu, güvenilir hizmeti bir toplu dağıtım silahına dönüştürüyor” dedi.
Kanada Siber Güvenlik Merkezi ve Avustralya Siber Güvenlik Merkezi de kusurla ilgili uyarılar yayınladı.
Microsoft, 15 Ekim’de yayınlanan normal bir Salı Yaması düzeltmesi yoluyla bu kusurdan yararlanan bilgisayar korsanlarının önüne geçmeye çalıştı. Yama sorunu tam olarak çözmedi; bu, HawkTrace tarafından kısa bir süre sonra yayınlanan bir kavram kanıtının, aksi takdirde olabileceğinden daha büyük bir erişime sahip olduğu anlamına geliyordu.
Moore, “Kusurlu ilk yama ile acil durum düzeltmesi arasındaki kısa sürede, tehdit aktörleri bu güvenlik açığını neredeyse anında silah haline getirerek, tam düzeltme sağlanmadan önce onlara kritik bir avantaj sağladı” dedi.
Saldırganlar, Windows Server Update Services’ın seri durumdan çıkma yönteminden yararlanan yol da dahil olmak üzere birden fazla saldırı yolu kullanabilir AuthorizationCookie nesneler. Bu saldırı yöntemi, bir tehdit aktörünün “kötü amaçlı şifrelenmiş çerezleri GetCookie() HawkTrace bir takip blog gönderisinde şunu yazdı: Başka bir yol da şu şekildedir: ReportingWebServicearacılığıyla güvenli olmayan seri durumdan çıkarmanın tetiklenebileceği SoapFormatter.
Moore, “Güvenlik açığı özellikle endişe verici çünkü hedefi olan WSUS sıklıkla ihmal ediliyor” dedi. “Birçok BT ekibi ‘ayarla ve unut’ yaklaşımını benimseyerek onu savunmasız bir hedef haline getiriyor. Bir WSUS sunucusu hiçbir zaman İnternet’e maruz kalmamalıdır; bu dahili bir yama sistemidir, genel bir hedef değildir.”