Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Windows Server Update Service’i (WSUS) etkileyen kritik bir güvenlik açığından aktif olarak yararlanıldığı konusunda acil bir uyarı yayınladı.
Ajans, uyarısını 29 Ekim 2025’te güncelleyerek savunmasız sistemlerin belirlenmesi ve potansiyel tehditlerin tespit edilmesi hakkında önemli bilgiler ekledi.
Windows Server Güncelleme Hizmetinde Kritik Kusur
Microsoft, 2012, 2016, 2019, 2022 ve 2025 de dahil olmak üzere birden çok Windows Server sürümünde WSUS’yi etkileyen bir uzaktan kod yürütme güvenlik açığı olan CVE-2025-59287’yi gidermek için bir acil durum güvenlik güncelleştirmesi yayımladı.
Bu güvenlik açığı, önceki bir düzeltme ekinin güvenlik sorununu tam olarak çözememesi ve sistemlerin saldırılara maruz kalmasından sonra ortaya çıktı.
Bu kusurun ciddiyeti abartılamaz. Kimliği doğrulanmamış saldırganlar, sistem düzeyinde ayrıcalıklarla uzaktan kod yürütmek için bu güvenlik açığından yararlanarak, etkilenen sunucular üzerinde tam kontrol sahibi olabilirler.
CISA, 24 Ekim 2025’te Bilinen Yararlanılan Güvenlik Açıkları Kataloğuna CVE-2025-59287’yi ekleyerek vahşi ortamda aktif istismarı doğruladı.
CISA, kuruluşları derhal harekete geçmeye güçlü bir şekilde çağırmaktadır. İlk adım, WSUS Sunucu Rolü’nün etkinleştirilip etkinleştirilmediğini ve TCP 8530 veya TCP 8531 bağlantı noktalarının açık olup olmadığını kontrol ederek güvenlik açığı bulunan sunucuları tanımlamayı içerir.
Yöneticiler, bir PowerShell komutunu çalıştırarak veya Sunucu Yöneticisi Kontrol Panelini kontrol ederek WSUS kurulumunu doğrulayabilir.
Kuruluşların, 23 Ekim 2025’te yayımlanan bant dışı güvenlik güncellemesini belirlenen tüm sunuculara uygulaması gerekiyor.
Azaltma işlemini tamamlamak için kurulumdan sonra sistemin yeniden başlatılması gerekir. Güncelleştirmeyi hemen dağıtamayan kuruluşlar için CISA, WSUS Sunucu Rolünün geçici olarak devre dışı bırakılmasını veya varsayılan WSUS dinleyici bağlantı noktalarına gelen trafiğin engellenmesini önerir.
WSUS sunucularının güvenliğini sağladıktan sonra kuruluşlar, tam koruma sağlamak için güncellemeleri kalan tüm Windows sunucularına uygulamalı ve bunları yeniden başlatmalıdır. CISA, yama uygulamasının ötesinde, kötüye kullanım belirtilerinin izlenmesini önerir.
Güvenlik ekipleri, özellikle wsusservice.exe veya w3wp.exe işlemlerinden kaynaklananlar olmak üzere, sistem düzeyinde izinlerle oluşturulan şüpheli etkinlikleri ve alt işlemleri araştırmalıdır. Ancak bu süreçler aynı zamanda meşru sistem etkinliğini de temsil edebilir.
Kuruluşlar, saldırganların genellikle gizlemek için kullandığı base64 kodlu komutları kullanarak iç içe PowerShell işlemlerini izlemelidir.
Uç nokta güvenlik platformları, olağandışı süreç davranışları ve ayrıcalık yükseltme girişimleri konusunda uyarı verecek şekilde yapılandırılmalıdır.
CISA, kılavuzunu Huntress ve Palo Alto Networks Unit 42’den kaynakları içerecek şekilde güncelledi.
Bu kuruluşlar, CVE-2025-59287 için ayrıntılı teknik analiz ve tespit kılavuzu yayınladı.
Güvenlik açığı, Windows Server altyapısını çalıştıran kuruluşlar için önemli bir risk oluşturmaktadır.
Etkin yararlanmanın onaylanmasıyla birlikte gecikmeli yama uygulaması, sistemin tamamen tehlikeye girmesine ve ağlar arasında olası yanal hareketlere neden olabilir. Güvenlik ekipleri yama yönetimi programlarında bu güncellemeye öncelik vermelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.