Saldırganlar artık, halihazırda genel kullanıma açık kavram kanıtı yararlanma koduna sahip olan, kritik öneme sahip bir Windows Server Güncelleme Hizmeti (WSUS) güvenlik açığından yararlanıyor.
CVE-2025-59287 olarak izlenen bu uzaktan kod yürütme (RCE) kusuru, yalnızca kuruluş içindeki diğer WSUS sunucuları için güncelleme kaynağı görevi görecek şekilde WSUS Sunucusu rolünün etkinleştirildiği Windows sunucularını etkiler (varsayılan olarak etkin olmayan bir özellik).
Tehdit aktörleri, ayrıcalık veya kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda bu güvenlik açığından uzaktan yararlanarak SİSTEM ayrıcalıklarıyla kötü amaçlı kod çalıştırabilirler. Bu koşullar altında, güvenlik açığı WSUS sunucuları arasında da potansiyel olarak solucan oluşturabilir.
Perşembe günü Microsoft, etkilenen tüm Windows Server sürümleri için “CVE-2025-59287’yi kapsamlı bir şekilde ele almak” üzere bant dışı güvenlik güncelleştirmeleri yayınladı ve BT yöneticilerine bunları mümkün olan en kısa sürede yüklemelerini tavsiye etti:
Microsoft ayrıca, saldırı vektörünü ortadan kaldırmak için savunmasız sistemlerde WSUS Sunucusu rolünün devre dışı bırakılması da dahil olmak üzere, acil durum düzeltme eklerini hemen dağıtamayan yöneticiler için geçici çözümler de paylaştı.
Hafta sonu csiber güvenlik firması HawkTrace Security CVE-2025-59287 için kavram kanıtı yararlanma kodunu yayınladı keyfi komut yürütülmesine izin vermez.
Vahşi doğada sömürüldü
Hollandalı siber güvenlik firması Eye Security bugün erken saatlerde, bu sabah zaten tarama ve istismar girişimlerini gözlemlediğini, müşterilerinden en az birinin sisteminin Hawktrace tarafından hafta sonu paylaşılandan farklı bir istismar kullanılarak ele geçirildiğini bildirdi.
Ayrıca, WSUS sunucuları genellikle çevrimiçi olarak açığa çıkmasa da Eye Security, 250’si Almanya’da ve yaklaşık 100’ü Hollanda’da olmak üzere dünya çapında yaklaşık 2.500 örnek bulduğunu söylüyor.
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC-NL) bugün Göz Güvenliği’nin bulgularını doğruladı ve yöneticilere PoC istismarının zaten mevcut olması nedeniyle artan risk konusunda tavsiyelerde bulundu.
NCSC-NL Cuma günü yayınlanan bir danışma belgesinde, “NCSC, güvenilir bir ortaktan, CVE-2025-59287 tanımlayıcılı güvenlik açığından yararlanılmasının 24 Ekim 2025’te gözlemlendiğini öğrendi.” diye uyardı.
“Bir WSUS hizmetinin internet üzerinden herkese açık olarak erişilebilir olması yaygın bir uygulama değildir. Güvenlik açığına ilişkin genel kavram kanıt kodu artık mevcut, bu da kötüye kullanım riskini artırıyor.”
Microsoft, CVE-2025-59287’yi “Sömürü Olasılığı Daha Yüksek” olarak sınıflandırarak saldırganlar için cazip bir hedef olduğunu belirtti; ancak aktif istismarı onaylamak için tavsiyesini henüz güncellemedi.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.