Microsoft, Windows Common Log Dosya Sistemi (CLFS) sürücüsünde şu anda Wild’da kullanılmakta olan iki kritik güvenlik açığı açıkladı.
13 Mayıs 2025’te piyasaya sürülen CVE-2025-32706 ve CVE-2025-32701 olarak tanımlanan güvenlik açıkları, her ikisi de yerel ayrıcalık artışına izin veriyor ve 7.8 yüksek CVSS puanları ile “önemli” olarak sınıflandırıldı.
Bu sıfır gün güvenlik açıkları, Microsoft’un aktif sömürüyü doğruladığı için önemli bir tehdidi temsil ediyor, bu da saldırganların bu kusurları gerçek dünya saldırılarında zaten kullandığını gösteriyor.
.png
)
İlk güvenlik açığı (CVE-2025-32706), Windows Ortak Günlük Dosyası Sistemi sürücüsünde yanlış giriş doğrulamasından kaynaklanmaktadır.
“Ortak Zayıflık numaralandırması CWE-20 kapsamında kategorize edilen bu güvenlik açığı, yerel olarak kimlik doğrulamalı bir saldırganın yüksek” sistem ayrıcalıklarıyla kötü amaçlı kod yürütmesine izin verir.
Kusur, CLFS sürücüsü, işlemi işlemeden önce girişi doğru bir şekilde doğrulayamadığında, amaçlanan güvenlik kontrollerini atlayan kullanılabilir bir koşul oluşturduğunda gerçekleşir.
İkinci güvenlik açığı (CVE-2025-32701), aynı CLFS sürücü bileşeninde CWE-416 olarak sınıflandırılan bir kullanımsız (UAF) durumunu içerir.
Bu bellek bozulması güvenlik açığı, uygulama serbest bırakıldıktan sonra bir bellek konumu kullanmaya devam ettiğinde gerçekleşir ve potansiyel olarak bir saldırganın keyfi kod yürütmesine izin verir.
Her iki güvenlik açığı da aynı CVSS vektör dizesini paylaşır, bu da yerel erişim, düşük saldırı karmaşıklığı ve düşük ayrıcalıklar gerektirir, ancak gizlilik, dürüstlük ve kullanılabilirliğin tamamen uzlaşmasına neden olabilir.
Sömürü Durumu ve Saldırı Vektörü
Microsoft’un Güvenlik Danışmanlığı, her iki güvenlik açıkının da aktif olarak kullanıldığını ve bu da onları gerçek sıfır gün güvenlik açıkları haline getirdiğini doğrular.
Saldırı vektörü, bir saldırganın zaten hedef sisteme ve düşük seviyeli ayrıcalıklara yerel erişime sahip olmasını gerektirir.
Ancak sömürüldükten sonra, saldırgan ayrıcalıklarını sistem seviyesine yükseltebilir ve etkilenen makine üzerinde etkili bir şekilde kontrol sahibi olabilir.
Microsoft’un danışmanındaki “sömürü tespit edilen” statü, tehdit istihbaratlarının hedeflenen saldırılarda kullanılan bu güvenlik açıklarını belirlediğini göstermektedir.
Sömürülebilirlik değerlendirmesi, bunların özellikle “sömürü tespit edilen” sınıflandırma ve CVSS sömürülebilirlik metriklerine dayanan “sömürü daha olası” bir derecelendirme ile tehlikeli kusurlar olduğunu göstermektedir.
Yerel saldırı vektörü, uzaktan sömürü mümkün olmasa da, bu güvenlik açıklarının, bir saldırganın başka yollarla bir sisteme zaten ilk erişimi kazandığı çok aşamalı saldırı zincirlerinde özellikle değerli olduğu anlamına gelir.
Öneriler ve savunma önlemleri
Kuruluşlar, Microsoft’un Mayıs 2025 Patch Salı sürümünde sağlanan güvenlik güncellemelerini derhal uygulamalıdır.
Aktif sömürü durumu göz önüne alındığında, tüm Windows sistemleri, özellikle yüksek güvenlikli ortamlarda olanlar için yama önceliklendirilmelidir.
Microsoft, güvenlik yamaları aracılığıyla resmi (RL: O) düzeltme yayınladı ve Rapor Güven (RC: C) onaylandığı gibi listelendi.
Hemen yamalanamayan sistemler için, güvenlik ekipleri aşağıdakiler dahil olmak üzere ek savunma önlemleri uygulamalıdır.
- En az ayrıcalık ilkesini kullanarak yerel kullanıcı ayrıcalıklarını sınırlamak.
- CLFS sürücüsü ile ilgili şüpheli işlem etkinliğinin izlenmesi.
- Yetkisiz yürütülebilir ürünlerin çalışmasını önlemek için uygulama kontrol politikalarının uygulanması.
- Sömürü kalıplarını tespit edebilen gelişmiş uç nokta algılama ve yanıt (EDR) çözümlerinin dağıtılması.
Windows Ortak Günlük Dosyası Sistemi sürücü güvenlik açıkları, özellikle vahşi doğada onaylanmış sömürü göz önüne alındığında, Windows sistemlerini çalıştıran tüm kuruluşlardan derhal dikkat gerektiren ciddi bir güvenlik tehdidini temsil eder.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!