Microsoft’un Windows Sunucu Güncelleme Hizmetleri’ndeki (WSUS) kritik bir güvenlik açığı için bir kavram kanıtlama (PoC) istismarı yayımlandı ve kimlik doğrulaması yapılmamış saldırganların etkilenen sunucularda SİSTEM ayrıcalıklarıyla uzaktan kod yürütmesine olanak tanıdı.
CVE-2025-59287 olarak adlandırılan ve CVSS v3.1 puanı 9,8 olarak atanan kusur, WSUS’nin AuthorizationCookie işlemesinde güvenilmeyen verilerin güvenli olmayan şekilde seri durumdan çıkarılmasından kaynaklanıyor.
Microsoft’un Salı günü Ekim 2025 Yaması’nın bir parçası olarak açıklanan bu güvenlik açığı, kurumsal güncelleme altyapıları için ciddi riskler oluşturuyor ve potansiyel olarak yaygın güvenlik ihlallerine yol açıyor.
WSUS, Windows Server’da BT yöneticilerinin Microsoft güncellemelerini ağlar arasında dağıtmasına yardımcı olarak sistemlerin yamalanmış ve güvenli kalmasını sağlayan bir sunucu rolüdür.
Yeni özellikler nedeniyle kullanımdan kaldırılmış olmasına rağmen WSUS, üretim ortamlarında yaygın olarak kullanılmaya devam ediyor ve sürekli güvenlik desteği alıyor.
Güvenlik açığı, GetCookie() uç noktasının şifrelenmiş AuthorizationCookie nesnelerini yeterli doğrulama olmadan işlediği 2012’den 2025’e kadar desteklenen tüm Windows Server sürümlerini etkilemektedir.
CVE-2025-59287, özünde EncryptionHelper.DecryptData() yöntemindeki seri durumdan çıkarma sorunundan yararlanıyor. AES-128-CBC ile şifrelenen gelen çerez verilerinin şifresi çözülür ve ardından seri durumdan çıkarma için doğrudan .NET’in BinaryFormatter’ına aktarılır.
Bu eski seri hale getiricide tür kısıtlamaları bulunmadığından, saldırganların işlem sırasında rastgele kod yürütülmesini tetikleyen kötü amaçlı yükler oluşturmasına olanak sağlanır. Microsoft, kusuru “Kullanım Olasılığı Daha Yüksek” olarak sınıflandırarak, ağa bağlı WSUS sunucularındaki solucanlanma potansiyelini vurguladı.
Saldırı Akışı ve PoC
Bu istismar, 8530 numaralı bağlantı noktasındaki WSUS ClientWebService uç noktasına kimlik doğrulaması yapılmamış bir HTTP POST isteğiyle başlar. Saldırganlar, “SimpleTargeting” PlugInId’si ve şifrelenmiş yük verileri içeren, değiştirilmiş bir AuthorizationCookie içeren bir SOAP zarfı gönderir.
Sunucu, sabit kodlu bir anahtar (“877C14E433638145AD21BD0C17393071”) kullanarak çerezin şifresini çözer, IV bloğunu çıkarır ve sonucu BinaryFormatter aracılığıyla seri durumdan çıkarır.
GitHub’da araştırmacı “hawktrace” tarafından paylaşılan, halka açık bir PoC, C#’ta yük oluşturmayı gösteriyor. Kötü niyetli bir temsilciyi “calc.exe” veya benzeri komutları başlatmak için serileştirir, onu doldurmadan şifreler ve SOAP isteği için Base64 kodlu bir dize çıkarır.
İzleme, Client.GetCookie()’den AuthorizationManager aracılığıyla seri durumdan çıkarmanın SİSTEM bağlamı altında gerçekleştiği DecryptData()’ya kadar olan çağrı zincirini ortaya çıkarır. Kullanıcı etkileşimine gerek olmaması, açığa çıkan WSUS örnekleri için oldukça tehlikeli hale gelir.
Bu RCE, ele geçirilen WSUS sunucularının istemcilere kötü amaçlı güncellemeler dağıttığı tedarik zinciri saldırılarına olanak sağlayabilir. Ortalıkta aktif bir açıktan yararlanma bildirilmemesine rağmen PoC’nin kullanılabilirliği yamalamanın aciliyetini artırıyor.
Microsoft, keşif için araştırmacı “MEOW”a teşekkür ediyor ve Ekim 2025 güvenlik güncellemelerinin Windows Update veya WSUS aracılığıyla derhal uygulanmasını teşvik ediyor.
Kuruluşlar WSUS sunucularını izole etmeli, erişimi kısıtlamak için güvenlik duvarlarını etkinleştirmeli ve anormal SOAP trafiğini izlemelidir. Uzun vadede Microsoft, BinaryFormatter’dan katı doğrulamaya sahip JSON veya XML serileştiriciler gibi daha güvenli alternatiflere geçiş yapılmasını önerir.
WSUS kritik güncelleme mekanizmalarını desteklediğinden, fidye yazılımlarının ve ulus devlet tehditlerinin arttığı bir çağda yamaların geciktirilmesi geniş ağ ihlallerine yol açabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
