Windows Agere Modem sürücüsünde yeni keşfedilen sıfır gün güvenlik açığı, etkilenen sistemlerdeki ayrıcalıkları yükseltmek için tehdit aktörleri tarafından aktif olarak kullanıldı.
CVE-2025-24052 ve CVE-2025-24990 olarak takip edilen bu kusurlar, düşük ayrıcalıklı bir kullanıcının herhangi bir kullanıcı etkileşimi olmadan tam sistem kontrolü elde etmesine olanak tanıyor.
Microsoft, güvenlik açığı bulunan ltmdm64.sys sürücüsünü kaldıran bir Ekim toplu güncelleştirmesini yayımladı, ancak bu bileşene bağımlı faks modem donanımına güvenen kuruluşlar olası hizmet kesintileriyle karşı karşıyadır.
Güvenlik Açıklarının Ayrıntıları
İlk güvenlik açığı olan CVE-2025-24052, Agere Modem sürücüsündeki yığın tabanlı arabellek taşmasından kaynaklanmaktadır. Düşük ayrıcalıklara sahip bir saldırgan, çekirdek bağlamında rastgele kod yürütmek için bu kusurdan yerel olarak yararlanabilir ve bu da yüksek gizlilik, bütünlük ve kullanılabilirlik etkisine neden olur.
Microsoft, CVSS v3.1 puanı 7,8 ile ciddiyeti Önemli olarak derecelendiriyor. Kavram kanıtı yararlanma kodunun zaten yayınlanmış olması yama uygulamasının aciliyetini artırıyor.
Kısa bir süre sonra araştırmacılar, aynı sürücüde güvenilmeyen bir işaretçi referansı olan CVE-2025-24990’ı belirlediler.
| CVE Kimliği | Yayın tarihi | Darbe | Maksimum Önem Derecesi | CVSS v3.1 Puanı |
| CVE-2025-24052 | 14 Eki 2025 | Ayrıcalığın Yükselmesi | Önemli | 7.8 |
| CVE-2025-24990 | 14 Eki 2025 | Ayrıcalığın Yükselmesi | Önemli | 7.8 |
Bu zayıflık benzer şekilde yerel ayrıcalık yükseltmeye olanak tanır, düşük kullanıcı ayrıcalıklarından yararlanır ve kullanıcı etkileşimi gerektirmez.
Microsoft ayrıca önem derecesini Önemli olarak derecelendirir ve CVSS v3.1 derecesini 7,8 olarak atar. Başlangıçta herhangi bir kamu istismarı gözlemlenmese de, ilk kusurla benzerlik, hızlı silahlanma riskini artırıyor.
Etkilenen Sistemler Üzerindeki Etki
Her iki güvenlik açığı da desteklenen Windows sürümlerinde varsayılan olarak bulunan ltmdm64.sys bileşenini hedef alıyor.
Bu özel Agere sürücüsüne dayanan faks modem donanımı, sürücü Ekim toplu güncelleştirmesi tarafından kaldırıldıktan sonra çalışmayı durduracaktır.
Sağlık, finans ve hukuk hizmetleri gibi düzenlemeye tabi sektörlerde faks çözümlerini kullanan kuruluşlar, eski modem donanımına olan bağımlılıklarını değerlendirmeli ve alternatif iletişim yöntemlerini dikkate almalıdır.
Microsoft’un yönetici özeti, güncel olmayan sürücünün kaldırılmasını vurguluyor ve yöneticileri, faks modem donanımı üzerindeki güncellenemeyen mevcut bağımlılıkları kaldırmaya çağırıyor.
CVE-2025-24052’ye yönelik kavram kanıtlama istismarı kamuya açık olduğundan, tehdit aktörleri bu kodu daha geniş saldırı zincirlerine entegre ederek, çekirdek düzeyinde erişim elde ettikten sonra veri hırsızlığına veya fidye yazılımı dağıtımına olanak sağlayabilir.
Her iki güvenlik açığını da azaltmak için Ekim 2025 Windows toplu güncelleştirmesini hemen uygulayın. Bu güncelleştirme, güvenlik açığı bulunan ltmdm64.sys sürücüsünü desteklenen tüm platformlardan kalıcı olarak kaldırır.
Donanımı değiştirmenin henüz mümkün olmadığı ortamlar için aşağıdaki geçici önlemleri göz önünde bulundurun:
- Grup İlkesi veya yapılandırma yönetimi araçları aracılığıyla faks modem işlevini devre dışı bırakın.
- Güvenlik açığı bulunan sürücüyü yükleme veya sürücüyle etkileşim kurma yeteneğini sınırlamak için AppLocker, Device Guard veya benzer çözümleri kullanarak yerel kullanıcı ayrıcalıklarını kısıtlayın.
- Olağandışı çekirdek modu sürücü yükleme denemeleri veya işlem yükseltme olayları için Windows Olay Günlüklerini izleyin.
Sonuçta desteklenmeyen modem donanımından uzaklaşmak saldırı yüzeyini ortadan kaldıracaktır.
BT ekipleri mevcut envanterleri denetlemeli, Agere Modem sürücüsünün kurulu olduğu sistemlere öncelik vermeli ve desteklenen iletişim çözümlerine geçişleri planlamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.