Microsoft’un CVE-2025-24054 için son yamasını atlatan kritik bir sıfır tıkalı NTLM kimlik bilgisi sızıntısı güvenlik açığı.
CVE-2025-50154 atanan yeni tanımlanan kusur, saldırganların herhangi bir kullanıcı etkileşimi olmadan tamamen yamalı Windows sistemlerinden NTLM karma işlemlerini çıkarmasına izin vererek Microsoft’un Nisan güvenlik güncellemesinin eksik olduğunu gösteriyor.
Key Takeaways
1. CVE-2025-50154 bypasses Microsoft's recent patch, enabling zero-click NTLM credential theft.
2. Steals authentication hashes and silently downloads malicious binaries.
3. New security update in development
Sıfır tıkırtı NTLM karma sızıntı güvenlik açığı
Cymule araştırma laboratuvarlarına göre, güvenlik açığı, Windows Explorer’ın masaüstü kısayollarını işleme şeklinden yararlanarak Microsoft’un hafifletme stratejisindeki ince bir boşluğu kullanıyor.
Microsoft’un kısayolların UNC yollarına dayalı olarak simgeleri oluşturmasını önlemek için yamalanan orijinal CVE-2025-24054’ün aksine, yeni saldırı vektörü, .rsrc bölümünde kendi simge verilerini içeren uzaktan ikili dosyalara odaklanıyor.
Güvenlik açığını keşfeden araştırmacı Ruben Enkaoua, varsayılan Shell32.dll olarak ayarlanan simge ile kötü niyetli bir LNK dosyası oluşturulduğunda ve bir uzak KOBİ paylaşımına işaret eden yürütülebilir yol, Windows Gezgini, RT_ICON ve RT_Group_icon başlıklarından ICON bilgilerini otomatik olarak almak için ikili olarak geri alır.
Bu işlem, kullanıcı etkileşimi olmadan NTLM kimlik doğrulamasını tetikler, yakalanabilen ve çevrimdışı kaba kuvvet saldırılarına veya NTLM röle saldırılarına tabi tutulabilen NTLMV2-SSP karmalarını ortaya çıkarır.
Kimlik bilgisi sızıntısının ötesinde, güvenlik açığı, saldırganların kullanıcı rızası olmadan hedef sistemlere kötü niyetli ikili dosyaları indirmelerini sağlar.
Wireshark kullanılarak ağ trafik analizi, uzaktan yürütülebilir dosyanın tamamının simge çıkarma işlemi sırasında aktarıldığını ve gelecekteki saldırılar için bir evreleme zemini oluşturduğunu ortaya koyuyor.
Bu ikili dosyalar hemen yürütülmemiş olsa da, mağdurun sistemindeki varlıkları, sonraki kötü amaçlı yazılım dağıtım, kimlik bilgisi hırsızlığı veya yanal ağ hareketi için bir dayanak oluşturur.
Sysinternals Procmon gibi proses izleme araçları, dosyaların tam ikili boyut tahsisi ile oluşturulduğunu onaylayarak tam yük dağıtımını gösterir.
Bu çift tehdit kabiliyeti, CVE-2025-50154’ü, hemen kimlik bilgisi pozlamasını tek bir sıfır-tıkaç işleminde gizli yük evrelemesiyle birleştirdiği için özellikle tehlikeli hale getirir.
Microsoft Yanıt
Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) sorumlu açıklamanın ardından, güvenlik açığı resmi olarak tanınmış ve kendi CVE tanımlayıcısına atanmıştır.
Microsoft’un bypass tekniğini tamamen ele almak için kapsamlı bir güvenlik güncellemesi yayınlaması bekleniyor.
Keşif, modern kimlik doğrulama protokollerinin karmaşıklığının ve etkili güvenlik azaltmalarının uygulanmasındaki zorlukların altını çiziyor.
Yüksek ayrı hesapları hedefleyen NTLM rölesi saldırıları, kurumsal ağlarda ayrıcalık artış, yanal hareket ve uzaktan kod yürütülmesine yol açabilir.
Sadece Microsoft’un koruma için önceki yamasına dayanan kuruluşlar, bu sofistike baypas tekniğine karşı savunmasız kalıyor.
Bu olay, satıcıların tam olarak çözüldüğünü düşündüğü güvenlik açıkları için bile derinlemesine savunma stratejilerinin ve sürekli güvenlik doğrulamasının kritik önemini vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.