Microsoft, kritik öneme sahip bir Windows Server Update Service (WSUS) güvenlik açığını genel kullanıma açık kavram kanıtı yararlanma koduyla düzeltmek için bant dışı (OOB) güvenlik güncelleştirmeleri yayımladı.
WSUS, BT yöneticilerinin Windows güncellemelerini ağlarındaki bilgisayarlara yönetmesine ve dağıtmasına olanak tanıyan bir Microsoft ürünüdür.
CVE-2025-59287 olarak izlenen ve bu ayın Salı Yaması sırasında yamalanan bu uzaktan kod yürütme (RCE) güvenlik açığı, yalnızca varsayılan olarak etkin olmayan bir özellik olan WSUS Sunucu Rolü etkinleştirilmiş Windows sunucularını etkiler.
Bu güvenlik açığından, kullanıcı etkileşimi gerektirmeyen, düşük karmaşıklıktaki saldırılarda uzaktan yararlanılabilir, bu da ayrıcalıkları olmayan tehdit aktörlerinin savunmasız sistemleri hedef almasına ve SİSTEM ayrıcalıklarıyla kötü amaçlı kod çalıştırmasına olanak tanır. Bu, onu WSUS sunucuları arasında potansiyel olarak solucan haline getirir.
Microsoft, “WSUS sunucu rolü etkin olmayan Windows sunucuları bu güvenlik açığından etkilenmez. WSUS sunucu rolü etkinleştirilirse, WSUS sunucu rolü etkinleştirilmeden önce düzeltme yüklenmezse sunucu güvenlik açığına maruz kalacaktır” dedi.
“Uzak, kimliği doğrulanmamış bir saldırgan, eski bir serileştirme mekanizmasında güvenli olmayan nesne serisini kaldırmayı tetikleyen hazırlanmış bir olay göndererek uzaktan kod yürütülmesine neden olabilir.”
Microsoft, etkilenen tüm Windows Server sürümleri için güvenlik güncelleştirmeleri yayımladı ve müşterilere bunları mümkün olan en kısa sürede yüklemelerini tavsiye etti:
Microsoft’un Perşembe günü orijinal güvenlik danışma belgesine yaptığı güncellemede açıkladığı gibi, CVE-2025-59287’ye yönelik kavram kanıtlı bir istismar artık çevrimiçi olarak da mevcut, bu da savunmasız sunuculara anında yama uygulanmasını daha da kritik hale getiriyor.
Microsoft ayrıca, bu acil durum yamalarını hemen yükleyemeyen yöneticiler için, saldırı vektörünü kaldırmak için WSUS Sunucu Rolünün devre dışı bırakılması veya WSUS’yi çalışmaz hale getirmek için ana bilgisayar güvenlik duvarındaki 8530 ve 8531 numaralı Bağlantı Noktalarına gelen tüm trafiğin engellenmesi dahil olmak üzere geçici çözümler de paylaştı.
Ancak, WSUS devre dışı bırakıldıktan veya trafik engellendikten sonra Windows uç noktalarının yerel sunucudan güncelleme almayı durduracağını unutmamak önemlidir.
Microsoft, “Bu toplu bir güncelleştirmedir, dolayısıyla bu güncelleştirmeyi yüklemeden önce önceki güncelleştirmeleri uygulamanıza gerek yoktur, çünkü bu güncelleştirme, etkilenen sürümler için önceki tüm güncelleştirmelerin yerine geçer.” diye ekledi.
“Ekim 2025 Windows güvenlik güncellemesini henüz yüklemediyseniz bunun yerine bu OOB güncellemesini uygulamanızı öneririz. Güncellemeyi yükledikten sonra sisteminizi yeniden başlatmanız gerekecektir.”
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.