Microsoft, dünya çapındaki Windows ortamlarını etkileyen kritik bir ayrıcalık yükseltme güvenlik açığını giderdi.
Saldırganlar, Kerberos yansıma saldırılarıyla birlikte yanlış yapılandırılmış Hizmet Asıl Adlarından (SPN’ler) yararlanarak, daha önceki Kerberos azaltım önlemleri mevcut olsa bile, etki alanına katılan makinelerde SİSTEM düzeyinde erişim elde edebilir.
| Bağlanmak | Detaylar |
| CVE Kimliği | CVE-2025-58726 |
| Güvenlik Açığı Türü | KOBİ Sunucusunun Ayrıcalık Yükselişi |
| CVSS 3.1 Puanı | 8,8 (Yüksek) |
| Saldırı Vektörü | Ağ |
CVE-2025-58726 olarak kataloglanan güvenlik açığı, DNS’de çözümlenmeyen ana bilgisayar adlarına başvuran Hayalet SPN hizmet adlarının Active Directory ortamlarında nasıl yararlanılabilir saldırı yüzeyleri oluşturduğunu ortaya koyuyor.
Güvenlik araştırmacıları, Haziran 2025’te güvenlik açığını Microsoft’a bildirdi ve şirket, Ekim ayının Salı Yaması güncellemesi sırasında yamalar yayınladı.
Saldırı Mekanizmasını Anlamak
Hayalet SPN’ler eski sistemler, önceden hazırlanmış hizmetler, yapılandırma hataları veya ormanlar arası kurulumlar gibi meşru nedenlerle ortaya çıkar.
Ancak bu artık SPN’ler, varsayılan Active Directory izinleri ve zayıf SMB güvenlik kontrolleriyle birleştirildiğinde tehlikeli hale gelir.
Saldırı, saldırganların kurban makinelerden gelen kimlik doğrulama isteklerini yakalayıp aynı hizmete geri yansıttığı bir teknik olan Kerberos kimlik doğrulama yansımasından yararlanıyor.
Yıllardır hafifletilen NTLM yansımasının aksine Kerberos, evrensel yansıma algılama mekanizmalarından yoksundur.
Bu boşluk, saldırganların etki alanına katılan makineleri, saldırgan tarafından kontrol edilen uç noktalarda kimlik doğrulaması yapmaları için kandırmasına olanak tanır.
Düşük ayrıcalıklı bir etki alanı kullanıcısı, DNS kayıtlarını varsayılan olarak Active Directory’ye kaydedebilir. Saldırganlar, kontrol edilen IP adreslerine işaret eden bir Hayalet SPN için bir DNS girişi oluşturarak, kimlik doğrulama girişimlerini yeniden yönlendirir.
Hedef makine Ghost SPN için bir Kerberos hizmet bileti istediğinde, bilmeden kendi bilgisayar hesabı olarak kimlik doğrulaması yapar ve işletim sistemi bunu SİSTEM düzeyindeki ayrıcalıklarla eşleştirir.
Bu istismar belirli koşulları gerektirir: Zorunlu SMB imzalaması olmayan, etki alanına katılmış bir Windows makinesi, Hayalet SPN’nin varlığı, DNS kayıtlarını kaydetmek için etki alanı kullanıcısı erişimi ve Yazdırma Biriktiricisi güvenlik açığı gibi zorlama teknikleri yoluyla makine kimlik doğrulamasını tetikleme yeteneği.
Saldırganlar başarılı olduktan sonra SİSTEM ayrıcalıklarıyla uzaktan kod yürütme olanağına sahip olur. Güvenliği ihlal edilen makine, Active Directory Sertifika Hizmetleri sunucusu gibi bir Katman 0 varlığıysa, saldırganlar etki alanı güvenliğini tamamen ihlal edecek şekilde ilerleyebilir ve potansiyel olarak tüm altyapıyı etkileyebilir.
Microsoft’un yaması, Kerberos yansıma saldırılarını deneyen yerel olmayan bağlantıları tespit etmek ve sonlandırmak için SMB sürücüsünü değiştirir. Kuruluşlar Ekim 2025 güvenlik güncellemelerini tüm Windows sürümlerine derhal uygulamalıdır.
Yama uygulamasının ötesinde, kritik azaltımlar arasında etki alanına katılan tüm makinelerde SMB imzalamanın zorunlu kılınması, yanlış yapılandırılmış SPN’lerin düzenli olarak denetlenmesi ve kaldırılması, standart kullanıcılar için DNS yazma izinlerinin kısıtlanması ve şüpheli hizmet bileti istekleri için Kerberos trafiğinin izlenmesi yer alır.
Bilinen zorlama açıklarının düzeltilmesi ve gereksiz RPC hizmetlerinin devre dışı bırakılması, bu saldırı zincirine karşı savunmayı daha da güçlendirir.
Bu keşif, eski altyapı öğelerinin, varsayılan izinler ve kimlik doğrulama zayıflıkları ile birlikte kurumsal ortamlarda nasıl istismar edilebilir saldırı yolları oluşturduğunun altını çiziyor.
Kuruluşların yanlış yapılandırmaları, erişim kontrollerini ve ağ güvenliğini aynı anda ele alan kapsamlı bir yaklaşım benimsemesi gerekir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.