Microsoft’un senaryo motorundaki (CVE-2025-30397) kritik sıfır gün güvenlik açığı, ağlar üzerindeki uzaktan kod yürütme (RCE) saldırılarını sağladığı ve işletmeler ve bireysel kullanıcılar için acil endişeleri artırdığı doğrulanmıştır.
Bir tür karışıklık zayıflığı (CWE-843) olarak sınıflandırılan kusur, saldırganların motorun bellekte veri türlerini nasıl işlediğini manipüle ederek güvenlik mekanizmalarını atlamasına izin verir.
Microsoft, güvenlik açığını “önemli” olarak derecelendirmiştir.
.png
)
Güvenlik açığı, komut dosyası motorunun bellek tahsisi işlemlerindeki nesne türlerinin uygunsuz kullanımıdır.
Komut dosyası tabanlı içeriği ayrıştırırken, motor istenen bir kaynağın beklenen veri yapısı türüyle eşleşip eşleşmediğini doğrulamamaktadır.
Bu, saldırganların motoru hafıza adreslerini pasif veri arabelleğinden ziyade yürütülebilir kod segmentleri olarak yorumlamaya karışan kötü niyetli komut dosyaları oluşturmalarını sağlar.
Başarılı sömürü, bir kurbanı özel olarak tasarlanmış bir belge açmaya veya kötü niyetli komut dosyasını barındıran tehlikeye atılmış bir web sayfasını ziyaret etmeye ikna etmeyi minimum kullanıcı etkileşimi gerektirir.
Tetiklendikten sonra, Tip Karışıklığı, mevcut kullanıcının ayrıcalıklarıyla keyfi kod yürütülmesini sağlar.
Güvenlik araştırmacıları, düşük karmaşıklık saldırılarının fidye yazılımı, kimlik bilgisi biçerdöverleri veya casusluk araçlarını ağlarda dağıtmak için bu kusuru silahlandırabileceğini vurgulamaktadır.
Komut dosyası motorunun Microsoft ürünleri üzerindeki yaygın entegrasyonu riskleri arttırır.
Internet Explorer 11 savunmasız bileşeni içerse de, modern kenar tarayıcıları mimari farklılıklar nedeniyle etkilenmez.
Bununla birlikte, ActiveX kontrollerine veya eski komut dosyalarına dayanan eski uygulamalar, yamalanana kadar açıkta kalır.
Aktif sömürü ve işletme etkisi
Microsoft, 13 Mayıs 2025’ten önce sınırlı saldırılarda bu güvenlik açığının aktif olarak kullanıldığını doğruladı.
Tehdit aktörleri, ofis belgelerini gömülü kötü amaçlı komut dosyalarıyla dağıtan kimlik avı kampanyalarından yararlandı.
Yerel erişim gerektiren birçok RCE kusurunun aksine, bu güvenlik açığının ağ tabanlı saldırı vektörü, hedeflere fiziksel yakınlık olmadan uzaktan uzlaşmayı mümkün kılar.
Eski Windows Server örneklerini kullanan veya Microsoft 365 kurulumlarını kullanan işletmeler belirli risklerle karşı karşıyadır.
Saldırganlar, ağlar boyunca yanal olarak hareket etmek için bu güvenlik açığını ayrıcalık artış kusurlarıyla zincirleyebilir.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-30397 ekledi ve federal ajansları 3 Haziran 2025 yılına kadar sorunu gidermeyi zorunlu kıldı.
Üçüncü taraf değerlendirmeler, sömürü girişimlerinin Avrupa ve Kuzey Amerika’daki finansal kurumları ve devlet yüklenicilerini hedeflediğini göstermektedir.
Microsoft’un Tehdit İstihbarat Merkezi, kobalt grev işaretlerini dağıtan yükleri gözlemledi ve casusluk motivasyonlu saldırılar önerdi.
Kamuoyu kavram kanıtı sömürü kodunun olmaması, yaygın istismar risklerini geçici olarak azaltır, ancak araştırmacılar bunun kusurun teknik erişilebilirliği göz önüne alındığında bunun hızla değişebileceği konusunda uyarıyorlar.
Azaltma stratejileri ve yama dağıtım
Microsoft, Mayıs 2025 Patch Salı günü piyasaya sürülmesinde CVE-2025-30397’yi ele alan güvenlik güncellemelerini yayınladı.
Kuruluşlar, Windows 10/11, Server 2019/2022 ve Microsoft 365 uygulamaları dahil olmak üzere savunmasız yazılımları çalıştıran tüm sistemleri güncellemeye öncelik vermelidir.
Hemen yamalanamayan sistemler için, yöneticiler riskleri aşağıdakilerle azaltabilir:
- Grup ilkesi aracılığıyla komut dosyası motorunun devre dışı bırakılması.
- Güvenilmeyen ActiveX kontrollerini engellemek için uygulama kontrolünün uygulanması.
- Ağ segmentasyonunun eski sistemleri izole etmesini sağlama.
Uç nokta algılama araçları, şüpheli komut dosyası aktivitesini izlemelidir, özellikle de ortaya çıkan işlemler scrrun.dll veya jscript.dll.
Endpoint için Microsoft Defender artık bu güvenlik açığı ile bağlantılı sömürü kalıplarını tanımlamak için davranışsal imzalar içeriyor.
Hiçbir geçici çözüm tam koruma sağlarken, ofis makrolarını kısıtlamak ve e -posta ekleme taramasının uygulanması ilk saldırı vektörlerini azaltabilir.
Siber güvenlik uzmanları, saldırganların hafifletilmeden önce kalıcılık mekanizmaları oluşturmuş olabileceğinden, açılmamış ortamlara maruz kalan sistemlerin adli denetimlerini yapmayı önermektedir.
Bu güvenlik açığı, karmaşık yazılım ekosistemlerinde hafıza yolsuzluk kusurlarının kalıcı risklerinin altını çizmektedir.
Microsoft pas gibi modern bellek güvenli dillere geçtikçe, eski bileşenler gelişmiş tehdit aktörleri için cazip hedefler olarak kalır.
Proaktif yama yönetimi ve katmanlı savunma stratejileri bu tür tehditlerin azaltılmasında kritik öneme sahiptir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!