Microsoft, tehdit aktörlerinin, tehlikeye atılan sistemlerde sistem düzeyinde ayrıcalıklar elde etmek için Windows Ortak Günlük Dosya Sistemi (CLFS) sürücüsündeki iki kritik güvenlik açıkından aktif olarak yararlandığını doğruladı.
CVE-2025-32706 ve CVE-2025-32701 olarak izlenen güvenlik açıkları, 13 Mayıs 2025’te yayınlanan Mayıs 2025 Patch Salı güvenlik güncellemesinde ele alındı.
Aktif sömürü altında kritik güvenlik açıkları
Her iki güvenlik açığı, yetkili saldırganların ayrıcalıklarını yerel olarak sistem seviyesine yükseltmelerine ve etkilenen sistemler üzerinde tam kontrol sağlamasına izin verir.
.png
)
CVE-2025-32706, Windows CLFS sürücüsünde uygunsuz giriş validasyonundan kaynaklanırken, CVE-2025-32701, aynı bileşende kullanılmayan bir güvenlik açığı olarak sınıflandırılır.
Microsoft Tehdit İstihbarat Merkezi’nden (MSTIC) güvenlik araştırmacıları CVE-2025-32701’i keşfetti ve bildirdi, CVE-2025-32706, Google Tehdit İstihbarat Grubu’nun Benoit Sevens ile Crowdtrike İleri Araştırma Ekibi arasındaki işbirlikçi çabalarla tanımlandı.
Microsoft güvenlik mühendisi konuyu bilen bir Microsoft güvenlik mühendisi, “Bu güvenlik açıkları özellikle tehlikelidir, çünkü saldırganlara en üst düzeyde sistem ayrıcalıkları sağlıyorlar” dedi. “İstismar edildikten sonra, tehdit aktörleri, fidye yazılımını dağıtmak veya hassas verileri söndürmek de dahil olmak üzere tehlikeye atılan sistemde etkili bir şekilde işlem yapabilirler.”
Windows CLFS sürücüsü ilk kez hedeflenmedi. Nisan 2025’te Microsoft, fidye yazılımı kampanyalarında aktif olarak sömürülen başka bir CLFS güvenlik açığı (CVE-2025-29824) düzeltti.
Güvenlik uzmanlarına göre, CLFS güvenlik açıkları saldırganlar için giderek daha popüler hedefler haline geldi ve 2022’den bu yana her yıl ortalama 10 bu tür güvenlik açıkları yamalı.
Microsoft’tan bir güvenlik araştırmacısı, “Ortak günlük dosya sistemi bileşeni, çekirdek düzeyinde erişimi ve Windows sistemlerinde her yerde bulunan varlığı nedeniyle tehdit aktörleri için cazip bir hedef olmaya devam ediyor” dedi.
Fidye yazılımı saldırılarına bağlantı
Önceki CLFS istismarları fidye yazılımı işlemleriyle bağlantılıdır. Nisan ayında Microsoft, bir CLFS sıfır gün güvenlik açığının sömürülmesinin, ABD’deki bilgi teknolojisi ve gayrimenkul, bir İspanyol yazılım şirketi olan Venezuela’daki finans kurumları ve Saudi Arabistan’daki perakende işletmeleri de dahil olmak üzere birçok sektördeki kuruluşlara karşı fidye yazılımı konuşlandırmasına yol açtığını bildirdi.
Sömürü zinciri tipik olarak saldırganların bir sisteme ilk erişim elde etmesiyle başlar, daha sonra bu CLFS güvenlik açıklarını fidye yazılımı veya diğer kötü amaçlı yükleri dağıtmadan önce ayrıcalıklarını yükseltmek için kullanır.
Güvenlik uzmanları, kuruluşlara bu kritik güvenlik açıklarını ele almak için Mayıs 2025 Yaması Salı güncellemelerini derhal uygulamalarını şiddetle tavsiye eder.
Microsoft’un Güvenlik Yanıt Merkezi’nden bir sözcü, “Ayrıcalık güvenlik açıklarının yükselmesi, modern saldırı zincirlerindeki önemli bileşenlerdir” dedi. “Bu yamalara öncelik vermek, tehdit aktörleri sistemlerinize ilk erişim elde etmeyi başarsa bile, fidye yazılımı saldırılarına karşı hayati bir savunma katmanı ekliyor.”
Kuruluşlar ayrıca, şüpheli faaliyetler için gelişmiş izleme, idari ayrıcalıkları kısıtlamak ve başarılı saldırıların potansiyel etkilerini azaltmak için güncel yedeklemelerin korunması da dahil olmak üzere ek güvenlik önlemleri uygulamalıdır.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri