Microsoft Perşembe günü, kritik öneme sahip bir Windows Server Update Service (WSUS) güvenlik açığını kamuya açık bir kavram kanıtı (Poc) istismarıyla yamamak için bant dışı güvenlik güncelleştirmeleri yayınladı ve vahşi ortamda aktif olarak istismar edildi.
Söz konusu güvenlik açığı CVE-2025-59287 (CVSS puanı: 9,8), WSUS’taki bir uzaktan kod yürütme kusuru olup, ilk olarak teknoloji devi tarafından geçen hafta yayınlanan Salı Yaması güncellemesinin bir parçası olarak düzeltilmiştir.
Üç güvenlik araştırmacısı MEOW, f7d8c52bec79e42795cf15888b85cbad ve CODE WHITE GmbH’den Markus Wulftange, hatayı keşfedip bildirdikleri için takdir edildi.
Bu eksiklik, yetkisiz bir saldırganın ağ üzerinden kod yürütmesine olanak tanıyan, WSUS’taki güvenilmeyen verilerin seri durumdan çıkarılması durumuyla ilgilidir. Güvenlik açığının, WSUS sunucu rolünün etkin olmadığı Windows sunucularını etkilemediğini belirtmekte fayda var.
Varsayımsal bir saldırı senaryosunda, uzak, kimliği doğrulanmamış bir saldırgan, “eski serileştirme mekanizmasında” güvenli olmayan nesne seri durumdan çıkarma işlemini tetikleyen ve uzaktan kod yürütülmesine yol açan hazırlanmış bir olay gönderebilir.
HawkTrace güvenlik araştırmacısı Batuhan Er’e göre sorun “GetCookie() uç noktasına gönderilen AuthorizationCookie nesnelerinin güvenli olmayan şekilde seri durumdan çıkarılmasından kaynaklanıyor; burada şifrelenmiş çerez verilerinin AES-128-CBC kullanılarak şifresi çözülür ve daha sonra uygun tür doğrulama olmadan BinaryFormatter aracılığıyla seri durumdan çıkarılır ve SYSTEM ayrıcalıklarıyla uzaktan kod yürütülmesine olanak sağlanır.”
Yöntemin güvenilmeyen girişle kullanıldığında güvenli olmaması nedeniyle Microsoft’un daha önce geliştiricilere seri durumdan çıkarma için BinaryFormatter’ı kullanmayı bırakmalarını önerdiğini belirtmekte fayda var. BinaryFormatter’ın bir uygulaması daha sonra Ağustos 2024’te .NET 9’dan kaldırıldı.
 |
| CVE‑2025‑59287 aracılığıyla dağıtılan .NET yürütülebilir dosyası |
Redmond, bir güncellemede şunları söyledi: “Microsoft, CVE-2025-59287’yi kapsamlı bir şekilde ele almak amacıyla Windows Server’ın aşağıdaki desteklenen sürümleri için bant dışı bir güvenlik güncelleştirmesi yayımladı: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (Sunucu Çekirdeği kurulumu) ve Windows Server 2025.”
Yama yüklendikten sonra güncellemenin etkili olması için sistemin yeniden başlatılması önerilir. Bant dışını uygulamak bir seçenek değilse kullanıcılar kusura karşı koruma sağlamak için aşağıdaki eylemlerden herhangi birini gerçekleştirebilir:
- Sunucudaki WSUS Sunucu Rolünü devre dışı bırakın (etkinse)
- Ana bilgisayar güvenlik duvarındaki 8530 ve 8531 numaralı bağlantı noktalarına gelen trafiği engelleyin
Microsoft, “Güncelleştirmeyi yükleyene kadar bu geçici çözümlerden hiçbirini geri almayın” diye uyarıyor.
Gelişme, Hollanda Ulusal Siber Güvenlik Merkezi’nin (NCSC) “güvenilir bir ortaktan 24 Ekim 2025’te CVE-2025-59287’nin kötüye kullanımının gözlemlendiğini” öğrendiğini açıklamasının ardından geldi.
NCSC-NL’ye bu saldırıyı bildiren Eye Security, güvenlik açığının isimsiz bir müşteriyi hedef alan Base64 kodlu bir yükü düşürmek için kullanıldığını gözlemlediğini söyledi. Bir .NET yürütülebilir dosyası olan yük, “‘aaaa’ istek başlığını alır ve bunu doğrudan cmd.exe kullanarak çalıştırır.”
Bir PoC istismarının mevcut olduğu göz önüne alındığında, potansiyel tehditleri azaltmak için kullanıcıların yamayı mümkün olan en kısa sürede uygulaması önemlidir.