Saldırganların, yama yapılmamış Windows sunucularına bilgi hırsızı kötü amaçlı yazılım dağıtmak için yakın zamanda yamalı WSUS güvenlik açığından (CVE-2025-59287) yararlandıkları tespit edildi.
Bant dışı güncelleme
Windows Server Update Services’ın (WSUS) uzaktan kod yürütme güvenlik açığı olan CVE-2025-59287 için geçen hafta yayınlanan acil durum düzeltmesinin hemen ardından, yaygın kullanım raporları geldi.
Düzeltmeden birkaç gün önce kamuya duyurulan bir PoC istismarı ve tersine mühendislik yapılabilecek bir yama ile saldırganlar, kendilerine ait istismarlar oluşturmaya ve WSUS Sunucu rolü etkinleştirilmiş, internete bakan yama yapılmamış Windows Server makinelerini hedeflemeye başlamaya yetti.
Göz Güvenliği, CVE-2025-59287’nin kötüye kullanılmasıyla ilgili şüpheli etkinliği ilk bildirenler arasındaydı.
Tespit edilen saldırıların Hawktrace tarafından yayınlanan PoC istismarından farklı olduğunu belirlediler ve tehdit aktörünün bir senaryo çocuğunun ötesinde yeteneklere sahip olduğu sonucuna vardılar.
Huntress olay müdahale ekipleri ayrıca başarılı saldırılar bildirdi ve saldırganların ağ keşfi, veri toplama ve sızma ve yanal hareket ve/veya kimlik bilgisi toplama için hazırlık yapma komutlarını çalıştırdığını gözlemledi.
Saldırganlar verileri sızdırıyor ve bir bilgi hırsızı yüklüyor
“[CVE-2025-59287] ‘güvenilmeyen verilerin güvenli olmayan bir şekilde seri durumdan çıkarılmasına’ dayanmaktadır. Güvenlik araştırmacıları, özel olarak hazırlanmış bir istek göndermek de dahil olmak üzere birden fazla saldırı yolu belirlediler. GetCookie() sunucunun hatalı bir şekilde seri durumdan çıkmasına neden olan uç nokta YetkilendirmeÇerezi güvensiz olanı kullanan nesne İkili Biçimlendirici” Palo Alto Networks araştırmacıları bu haftanın başlarında açıkladılar.
“Başka bir yol, RaporlamaWeb Hizmeti aracılığıyla güvenli olmayan seri durumdan çıkarma işlemini tetiklemek için SoapFormatter. Her iki durumda da uzak, kimliği doğrulanmamış bir saldırgan, sistemi en yüksek düzeyde sistem ayrıcalıklarıyla kötü amaçlı kod çalıştırması için kandırabilir.”
Göz Güvenliği CTO’su Piet Kerkhofs, Help Net Security’ye müşterilerinin yalnızca birkaçının saldırganlar tarafından vurulduğunu ve fidye yazılımı gruplarının bu güvenlik açığından yararlanmasını beklediklerini ancak böyle bir gelişmeyi henüz görmediklerini söyledi.
Sophos, WSUS kusurunun çeşitli sektörlerdeki birden fazla müşteri ortamında kötüye kullanıldığını tespit etti. Şirketin tehdit araştırmacıları, kullanılan istismarın yerini tespit edemedi ancak saldırganların toplayıp iki bilgisayara sızdırdığı bazı verilere göz atmayı başardılar. webhook.site URL’ler.
Çarşamba günü yaptıkları paylaşımda, “Ham içerik, birçok üniversitenin yanı sıra teknoloji, üretim ve sağlık kuruluşları için alan adı kullanıcı ve arayüz bilgilerinin dökümünü ortaya çıkardı. Kurbanların çoğu ABD’de yaşıyor” dedi.
“Censys tarama verileri, webhook içeriğinde kaydedilen genel arayüzlerin, varsayılan WSUS bağlantı noktaları 8530 ve 8531’in halka açık olduğu Windows sunucularıyla ilişkili olduğunu doğruladı.”
Darktrace Tehdit Araştırma ekibi ayrıca çözümlerinin tespit ettiği birden fazla saldırıyı da analiz etti.
“Muhtemel ilk erişim yöntemi vakalar arasında tutarlı olsa da, takip faaliyetleri farklılaştı ve bu da böyle bir CVE’nin her saldırganın özel hedeflerini gerçekleştirmek için ne kadar çok kullanılabileceğini gösterdi” diye açıkladılar.
Saldırılardan birinde şunu tespit ettiler:
- Veri sızması webhook.site URL’ler
- Saldırganlar, komuta ve kontrol iletişimi için bir tünel oluşturacak şekilde yapılandırılmış meşru DFIR aracı Velociraptor’u indiriyor
- Daha sonra kötü amaçlı bir verinin indirilmesi: Kripto cüzdanlarını, dosyalarını, sistem bilgilerini, tarayıcı verilerini ve belirteçleri toplayabilen açık kaynaklı “Skuld Stealer”ı içeren UPX dolu bir Windows ikili programı.
Şu ana kadar gözlemlenen saldırılara göre saldırganların belirli kuruluşları hedef aldığı görülmemektedir. Bunun yerine, internetten ulaşabilecekleri her savunmasız Windows Sunucusuna fırsatçı bir şekilde saldırıyor ve WSUS sunucusuna özel hazırlanmış bir olay gönderiyorlar.
Defans oyuncuları için tavsiyeler
Siber Güvenlik ve Altyapı Güvenliği Ajansı, daha yeni bilgilere dayanarak ilk uyarısını, savunmasız ürün tanımlama ve potansiyel tehdit faaliyeti tespitlerine ilişkin revize edilmiş bilgilerle güncelledi.
Microsoft güncellemelerini bilgisayar filosuna dağıtmak için Windows Server ve WSUS kullanan kuruluşlar, kötüye kullanıma açık sunucuları tanımlamalı, CVE-2025-59287 için bant dışı güvenlik güncellemesini uygulamalı ve bunları yeniden başlatmalıdır.
Ajans, “CISA, uç nokta güvenlik platformu olaylarını kontrol etmenin yanı sıra, potansiyel olarak etkilenen kuruluşların ağlarındaki tehdit faaliyeti işaretlerini de araştırmasını tavsiye ediyor” diye ekledi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!