Microsoft, CVE-2025-32709 olarak izlenen Winsock için Windows yardımcı fonksiyon sürücüsünde kritik bir ayrıcalık artış kırılganlığının aktif olarak kullanılmasını doğruladı.
Bu kullanımdan sonra kullanım, temel kullanıcı ayrıcalıklarına sahip yerel saldırganların sistem düzeyinde erişim elde etmesini sağlayarak, eşleştirilmemiş sistemler için önemli riskler oluşturmaktadır.
İlk olarak 13 Mayıs 2025’te kamuya açıklanan güvenlik açığı, 7.8 (yüksek) temel puan ve 6.8 zamansal puan taşır ve yama mevcudiyetinden önce teyit edilen teyit edilen saldırıları yansıtır.
.png
)
Güvenlik açığı, ağ soketi iletişimi için Winsock API işlemlerini yöneten bir çekirdek modu bileşeni olan Windows Yardımcı Fonksiyon Sürücüsü’nde (AFD) bulunur.
Saldırganlar, AFD’nin soket tanımlayıcı meta verilerini nasıl işlediği konusunda bir yarış koşulundan yararlanır;
Belirli IOCTL (giriş/çıkış kontrolü) istekleri hazırlayarak, tehdit aktörleri sürücüyü çekirdek alanında keyfi kod yürütülmesini sağlayarak sürücüyü serbest bellek bloklarına zorlayabilir.
Başarılı sömürü, standart kullanıcı ayrıcalıklarıyla yerel erişim gerektirir, ancak kullanıcı etkileşimi yoktur, bu da çok kullanıcı ortamlarında veya ihlal sonrası senaryolarda özellikle etkilidir.
Kusurun vektör dizesi, yerelleştirilmiş saldırı vektörünü yüksek gizlilik, bütünlük ve kullanılabilirlik etkileri ile doğrular.
“Windows için Windows yardımcı işlev sürücüsünde ücretsiz kullanın Winsock için yetkili bir saldırganın ayrıcalıkları yerel olarak yükseltmesine izin veriyor.”
“Bu güvenlik açığını başarıyla kullanan bir saldırgan yönetici ayrıcalıkları kazanabilir.” Microsoft belirtti.
Sömürü manzarası ve hafifletme
Microsoft’un güvenlik ekibi, Nisan 2025’ten bu yana sağlık ve devlet sektörlerinde CVE-2025-32709’dan yararlanan sınırlı ancak hedeflenen saldırıları doğruladı.
Tehdit aktörleri, bu güvenlik açığını, ayrıcalıkları yükseltmek için kimlik avı kampanyalarıyla veya mevcut kötü amaçlı yazılım yüklemeleriyle birleştirerek, genellikle fidye yazılımı yüklerini veya yetersiz kepçeleri kullanır.
Özellikle, istismar, meşru sürücü işlevlerinden yararlanarak tespiti karmaşıklaştırarak minimal adli izler bırakır.
14 Mayıs 2025 itibariyle Microsoft, Windows 10/11 ve Server 2022 sürümleri için KB5036899 aracılığıyla güvenlik güncellemeleri yayınladı.
Kuruluşlar, güvenilmez kullanıcılara, özellikle uzak masaüstü ağ geçitlerine ve terminal sunucularına maruz kalan yama sistemlerine öncelik vermelidir.
Gecikmeli güncellemeler gerektiren ortamlar için Microsoft şunları önerir:
- Hipervizör korumalı kod bütünlüğünü (HVCI) etkinleştirme.
- En az kullanıcı erişim politikaları aracılığıyla yönetici ayrıcalıklarını kısıtlamak.
- Anormal AFD için izleme.
CVE-2025-32709’un aktif sömürüsü, modern Windows mimarileri içindeki eski sürücü bileşenlerini güvence altına almada sistemik zorlukların altını çizmektedir.
AFD’nin çekirdek ağ yığınlarıyla derin entegrasyonu ve kullanıcı modu girişlerine sık sık maruz kalma, onu kalıcı bir saldırı yüzeyi haline getirir.
Microsoft’un bunu bir Önemli yerine Eleştirel Güvenlik açığının ayrıcalıklı yükseliş yetenekleri ve onaylanmış silahlandırma göz önüne alındığında, Bağımsız araştırmacılardan inceleme yapmıştır.
Çekirdek seviyesi güvenlik açıkları fidye yazılımı ve APT kampanyalarında giderek daha fazla yer aldığından, kuruluşlar sürücü bağımlılıklarını denetlemeli ve sanallaştırma veya kum havuzu yoluyla yüksek riskli bileşenleri izole etmelidir.
Microsoft, gelecekteki sürümlerde benzer kusurları azaltması beklenen gelişmiş bellek etiketleme ve IOCTL filtreleme kapasiteleri de dahil olmak üzere Windows 12 önizleme yapılarındaki sürücü korkuluklarını geliştirmeye devam ediyor.
Güvenlik ekipleri, beklenmedik ayrıcalık artışları veya anormal soket aktivitesi gösteren herhangi bir sistemi potansiyel olarak tehlikeye atılmış olarak ele almalıdır.
Adli araştırmalar, sömürü denemelerini tanımlamak için AFD.SYS bellek dökümleri ve Winsock API çağrı günlüklerini önceliklendirmelidir.
Tarihsel olarak Windows sürücü güvenlik açıklarını hedefleyen ulus-devlet grupları ile CVE-2025-32709 muhtemelen 2025’te bu vektörden yararlanan ilk saldırı dalgasını temsil ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!