Microsoft Windows sistemlerinde, saldırganların ayrıcalıklarını artırmasına ve etkilenen makineler üzerinde potansiyel olarak tam kontrol sahibi olmalarına izin veren kritik bir güvenlik açığı keşfedilmiştir.
CVE-2025-53149 olarak adlandırılan güvenlik açığı, çekirdek akışı WOW Thunk servis sürücüsünü etkiler ve Ağustos 2025’te Microsoft tarafından yamalanmıştır.
Güvenlik Açığı Genel Bakış
Güvenlik kusuru, özellikle CKSAutomationThunk :: HandlearrayProperty () işlevinde KSTHUNK.SYS sürücüsünde bulunan yığın tabanlı bir tampon taşmasıdır.
Bu güvenlik açığı, düşük seviyeli ayrıcalıklara sahip yetkili kullanıcıların, sistem düzeyinde izinlere erişimlerini artırarak potansiyel olarak tüm Windows kurulumundan ödün vermelerini sağlar.
| Bağlanmak | Detaylar |
| CVE kimliği | CVE-2025-53149 |
| Güvenlik Açığı Türü | Yığın Tabanlı Tampon Taşma |
| Bileşen | Çekirdek akışı vay thunk servis sürücüsü (ksthunk.sys) |
| CVSS Puanı | 7.8 (Yüksek) |
Crowdfense’den güvenlik araştırmacıları, Windows iç kısımlarının rutin analizi sırasında güvenlik açığını keşfettiler.
Etkilenen bileşen KSTHunk.sys, 32 bit kullanıcı uygulamaları ile Windows sistemlerinde 64 bit çekirdek sürücüleri arasında kritik bir köprü görevi görür ve bu da ayrıcalık artış arayan saldırganlar için özellikle değerlidir.
Teknik detaylar
Güvenlik açığı, 64 bit Windows sistemlerinde multimedya akış işlemlerini işleyen çekirdek akışı WOW Thunk Service sürücüsünde bulunur.
Sürücü, farklı sistem ortamları arasındaki istekleri çeviren ve özellikle 64 bit çekirdek modlu sürücülerle 32 bit kullanıcı modu uygulamalarını köprüleyen bir “Thunk” katmanı olarak hareket eder.
Güvenlik kusuru, sistem KSPROPERTY_VPCONFIG_DDRAWSURfaceHandle isteklerini savunmasız işlev aracılığıyla işlediğinde gerçekleşir.
Bu işlem sırasında sürücü, çıkış arabellek uzunluklarını doğru bir şekilde doğrulayamaz ve kötü amaçlı kodla kullanılabilecek bir yığın taşma durumuna yol açar.
Savunmasız sürücü, SHA-1 HASH 68B5B527550731DD657BF8F1E8FA31E895A7F176 ile tanımlanmıştır.
Başarılı bir şekilde kullanıldığında, saldırganlar yüksek ayrıcalıklarla keyfi kod yürütmek için bellek tahsisini ve veri kopyalama süreçlerini manipüle edebilir.
Güvenlik açığı, birkaç aylık sorumlu bir açıklama sürecini izledi. Güvenlik araştırmacıları başlangıçta 14 Nisan 2025’te kusuru keşfetti ve dört gün sonra 18 Nisan 2025’te Microsoft’a bildirdi.
Microsoft, 20 Mayıs 2025’te güvenlik açığını doğruladı ve 4 Haziran 2025’te bir güvenlik ödülünü verdi.
Azaltma ve koruma
Microsoft, Ağustos 2025 Yaması Salı yayın döngüsünün bir parçası olarak bu güvenlik açığını ele alan güvenlik güncellemeleri yayınladı.
Sistem yöneticileri ve kullanıcıları, sistemlerini potansiyel sömürüden korumak için ilgili güvenlik yamalarını derhal uygulamalıdır.
Yama, savunmasız işlevde çıkış arabellek uzunlukları için uygun doğrulama kontrolleri ekleyerek temel sorunu ele alır. Bu, ayrıcalık yükseltme saldırılarını mümkün kılan yığın taşma durumunu önler.
Vahşi doğada aktif bir sömürü bildirilmemesine rağmen, güvenlik açığının teknik detayları kamuya açıklanmış ve gelecekteki saldırı girişimleri potansiyelini artırmıştır.
Güvenlik ekipleri, Windows sistemlerinin güncellenmesini sağlamalı ve sömürü girişimlerini gösterebilecek şüpheli ayrıcalık artış faaliyetleri için izlemelidir.
CVE-2025-53149’un keşfi, Güvenlik Araştırmasının Kritik Sistem Bileşenlerindeki güvenlik açıklarını belirleme ve ele almada, Çekirdek Streaming Wow Thunk Hizmet Sürücüsü gibi görünüşte belirsiz sürücülerde bile devam eden önemini vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.