Microsoft, Windows işletim sistemleriyle birlikte gelen Agere Modem sürücüsündeki iki kritik sıfır gün güvenlik açığını açıkladı ve ayrıcalıkları yükseltmek için aktif istismarı doğruladı.
CVE-2025-24990 ve CVE-2025-24052 olarak takip edilen kusurlar, ltmdm64.sys sürücüsünü etkiliyor ve düşük ayrıcalıklı saldırganların tam yönetici erişimi elde etmesine olanak tanıyor.
Bu sorunlar Ekim 2025 toplu güncelleştirmesinde düzeltildi ancak Microsoft, etkilenen faks modem donanımının güncelleme sonrasında çalışmayı durduracağı konusunda uyarıyor.
Eski Sürücüde Ortaya Çıkan Güvenlik Açıkları
Windows’ta yerel olarak gönderilen üçüncü taraf bir bileşen olan Agere Modem sürücüsü, uzun süredir uykuda olan bir risktir.
CVE-2025-24990, güvenilmeyen bir işaretçi referansından (CWE-822) kaynaklanır ve saldırganların belleği değiştirmesine ve güvenlik sınırlarını aşmasına olanak tanır.
CVSS 3.1’in 7,8 puanıyla yalnızca yerel erişim ve düşük ayrıcalıklar gerektirir, ancak gizlilik, bütünlük ve kullanılabilirlik üzerinde yüksek etkiler sağlar.
Microsoft’un tehdit istihbarat ekibi MSTIC, r-tec IT Security’den araştırmacılar ve anonim bir katkıda bulunan kişiyle birlikte, yaygın kullanımdaki istismarı tespit etti.
İkinci kusur olan CVE-2025-24052, CVSS’de 7,8 puan alan yığın tabanlı arabellek taşmasını (CWE-121) içeriyor. Kavram kanıtı koduyla birlikte kamuya açıklanan bu kod, benzer bir tehdit oluşturuyor ancak henüz aktif saldırılarda gözlemlenmedi.
Her iki güvenlik açığı da aktif modem kullanımı olmasa bile devam ediyor ve Windows 10’dan itibaren desteklenen tüm Windows sürümlerini etkiliyor. Saldırganların donanımla etkileşime girmesine gerek yoktur; Basit bir yerel istismar, hakların yükseltilmesi için yeterlidir.
| CVE Kimliği | Tanım | CVSS Puanı | Kullanım Durumu | Zayıflık |
|---|---|---|---|---|
| CVE-2025-24990 | ltmdm64.sys dosyasında Güvenilmeyen İşaretçi Referansı | 7.8 (Önemli) | Aktif Olarak Kullanılıyor (İşlevsel PoC) | CWE-822 |
| CVE-2025-24052 | Ltmdm64.sys’de Yığın Tabanlı Arabellek Taşması | 7.8 (Önemli) | Kavram Kanıtı Mevcuttur | CWE-121 |
Açıklamalarda herhangi bir güvenlik ihlali göstergesi (IoC) ayrıntılı olarak belirtilmemiştir, ancak Microsoft, ltmdm64.sys varlığının taranmasını önermektedir.
Bu sıfır günler, modern ekosistemlerdeki eski sürücülerin tehlikelerine dikkat çekiyor. Kimlik avı veya kötü amaçlı yazılım yoluyla başlangıç noktası olan bir saldırgan, savunmasız sürücüyü yükleyebilir ve yöneticilerin kimliğine bürünmek için kod çalıştırabilir.
Kurumsal ayarlarda bu, etki alanı kontrolüne, veri sızmasına veya fidye yazılımı dağıtımına kadar yükselir. r-tec’ten Fabian Mosch, sistem önyüklemesi veya hizmet çağrıları sırasında hedef sürücü yüklemesinden yararlanarak kullanıcı modu savunmalarından kaçtığını belirtti.
CVE-2025-24990’ın kavram kanıtlaması, sürücünün IOCTL işleyicisine, kontrollü bir işaretçinin referansını tetikleyen hatalı biçimlendirilmiş girdinin işlenmesini içerir.
CVE-2025-24052 için taşma, modem öykünme rutinlerindeki büyük boyutlu arabellekler aracılığıyla yığın bozulmasından yararlanır. Araştırmacılar, standart kullanıcıdan SİSTEM düzeyine ayrıcalıkların çökme olmadan atladığını gösterdi.
Microsoft’un Yanıtı ve Kullanıcı Kılavuzu
Ekim Yaması Salı sürümünde Microsoft, ltmdm64.sys dosyasını tamamen kaldırarak bağımlı Agere modemlerini geçersiz hale getirdi. Geriye dönük uyumluluk mevcut olmadığından, faks donanımına güvenen kullanıcılar alternatifler aramalıdır.
Şirket, Autoruns gibi araçlar aracılığıyla sürücüye anında yama uygulanmasını ve denetlenmesini öneriyor. Düzeltme eki uygulanmamış sistemler için sürücüyü Aygıt Yöneticisi veya grup ilkesi aracılığıyla devre dışı bırakın.
Bu olay, güncelliğini yitirmiş bileşenlerin aşamalı olarak kullanımdan kaldırılması gerektiğinin altını çiziyor. Siber güvenlik uzmanları, anormal sürücü yüklemeleri ve düzenli güvenlik açığı taramaları için uç nokta tespit kuralları önermektedir.
Kötüye kullanım devam ettikçe kuruluşların ayrıcalık yükseltme zincirlerini engellemek için bu düzeltmelere öncelik vermesi gerekir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
