Cymulate Research Labs’taki güvenlik araştırmacıları, Microsoft’un CVE-2025-24054 için güvenlik yamasını başarıyla atlayan ve orijinal düzeltmenin eksik olduğunu ve milyonlarca pencere sistemini karmaşık saldırılara maruz bıraktığını gösteren kritik bir sıfır tıkalı NTLM kimlik bilgisi sızıntısı kırılganlığı keşfettiler.
CVE-2025-50154 atanan yeni tanımlanan güvenlik açığı, saldırganların tamamen yamalı Windows sistemlerinde bile herhangi bir kullanıcı etkileşimi olmadan NTLMV2-SSP karmalarını çıkarmasına izin verir.
Microsoft’un Nisan ayında ele aldığı orijinal CVE-2025-24054’ün aksine, bu Bypass sömürüsü, azaltma stratejisinde ince bir boşluktan yararlanır ve kimlik bilgisi hırsızlığına, ayrıcalık artışına ve işletme ağları arasında yanal harekete yol açabilecek otomatik NTLM kimlik doğrulama isteklerini sağlar.
Windows kısayol dosyalarını (LNK) manipüle ederek ve explorer.exe işleminin uzak ikili alımı nasıl ele aldığını kullanarak istismar çalışır.
Microsoft’un yaması, kısayolların UNC yollarına dayalı olarak simgeleri oluşturmasını engellerken, araştırmacılar, düzeltmenin RT_ICON ve RT_GROUP_ICON başlıkları altındaki ICON verilerini kendi .RSRC bölümlerinde depolayan uzak ikili dosyalar için geçerli olmadığını keşfettiler.
Teknik sömürü mekanizması
Saldırı, yürütülebilir değeri uzak bir dosya yoluna işaret ederken, varsayılan Shell32.dll olarak ayarlanan simge ile özel olarak hazırlanmış bir LNK dosyası oluşturulduğunda başlar.
Windows Explorer kısayolu görüntülemeye çalıştığında, işlemdeki NTLM kimlik doğrulamasını tetikleyerek simge bilgilerini çıkarmak için tüm uzaktan ikili olarak otomatik olarak alır.
Wireshark paket analizi ve SMB sunucusu izleme ile test sırasında araştırmacılar, tam ikili dosyanın herhangi bir kullanıcı tıklaması olmadan aktarıldığını gözlemlediler.
Bu sıfır tıkalı davranışı, yalnızca çevrimdışı kaba kuvvet saldırıları veya NTLM röle saldırıları için NTLM karmalarını ortaya çıkarmakla kalmaz, aynı zamanda doğrudan kurban sistemlerine sessiz yük teslimatını da sağlar.
Güvenlik açığı, çalınan karmaların diğer hizmetlere aktarılabileceği ortadaki insan senaryolarını kolaylaştırarak NTLMV2’nin doğasında bulunan geleneksel gökkuşağı tablolarını ve hurma korumalarını atlar.
Sysinternals Procmon gibi araçlar kullanan araştırmacılar, kötü niyetli ikili dosyaların tam boy tahsis eden hedef sistemlerde başarıyla oluşturulduğunu doğruladılar.
Bu meydan okuma/yanıt protokolü zayıflığı, kuruluşlar için yalnızca Microsoft’un NTLM kimlik bilgisi sızıntısına karşı koruma için önceki yamasına dayanan önemli riskler oluşturmaktadır.
İstismar, özellikle fidye yazılımı dağıtımını ve kapsamlı ağ uzlaşmasını sağlayabilecek yüksek ayrı hesapları hedef alırken, RCE senaryoları için saldırı yüzeylerini arttırır.
Cymulate, bulgularını CVE-2025-50154 ile güvenlik açığını resmi olarak tanıyan Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) açıkladı.
Microsoft’un bu derinlemesine savunma boşluğunu ele alan kapsamlı bir güvenlik güncellemesi yayınlaması bekleniyor.
Keşif, güvenlik açığı iyileştirmesindeki görünüşte küçük gözetimler, kritik sistemleri sofistike önceden hesaplanmış saldırılara ve pencereler kimlik doğrulama altyapısını hedefleyen gelişmiş kalıcı tehditlere maruz bırakabileceğinden, kapsamlı yama validasyonunun ve sürekli güvenlik testinin öneminin altını çiziyor.
AWS Security Services: 10-Point Executive Checklist - Download for Free