Microsoft, 2025’e Ocak ayının ikinci Salı günü büyük bir patlamayla başladı ve 159 güvenlik açığına yönelik düzeltmeler içeren devasa bir Salı Yaması güncellemesini yayınladı; bu güncelleme, CERT CC ve GitHub aracılığıyla iki ek güvenlik açığını da içerecek şekilde 161’e yükseldi.
Sıfır Gün Girişimi’nden Dustin Childs’a göre bu, 2017’den bu yana bir ay içinde ele alınan en fazla CVE sayısı olabilir – aslında bu, geçen yıl bu kez sabitlenen sayının (49) üç katından fazladır – ve alışılmadık derecede ağır bir başka Aralık güncellemesinin ardından gelir. .
“[This] Childs, her zamanki özet blogunda, “Bu, 2025’teki yama seviyeleri için uğursuz bir işaret olabilir” diye yazdı. “Bu yılın nasıl şekilleneceğini görmek ilginç olacak.”
Fortra’nın güvenlik araştırma ve geliştirme direktör yardımcısı Tyler Reguly de aynı fikirde: “Bu kesinlikle yöneticilerin geri adım atması, derin bir nefes alması ve saldırı planlarını belirlemesi gereken aylardan biri.
“Bu güvenlik açıklarının büyük bir kısmı Windows toplu güncelleştirmesiyle çözülecek olsa da, aralarında Word, Excel, Access, Outlook, Visio ve SharePoint’in yanı sıra diğer Microsoft ürünleri de bulunan çok sayıda başka yazılım da etkileniyor. .NET, .NET Framework ve Visual Studio gibi ürünler.
“Bunun gibi aylar harika [reminder] yöneticilerin tedarikçilerine ve araçlarına güvenmeleri gerekiyor” dedi Reguly. “161 güvenlik açığının düzeltilmesi tamamen manuel bir süreç olamaz, özellikle de bugün yalnızca Microsoft düzeltme eklerinin yayınlanmadığını bildiğimiz için. Örnek olarak Adobe, Photoshop, Substance3D Stager, iPad için Illustrator, Animate ve Adobe Substance3D Designer güncellemelerini bıraktı.
“Güvenlik açıklarını düzeltmek, kuruluşta tek başına yapılan bir çaba olmamalıdır ve eğer öyleyse, personel ve araç değişiklikleri hakkında liderliğinizle konuşmanın zamanı gelmiş olabilir.”
Sıfır gün
En büyük güvenlik açıkları arasında en az sekiz sıfır gün, üçünün doğada istismar edildiği bilinenler ve 11 kritik kusur yer alıyor.
Bu ayın sıfır günleri aşağıdaki gibidir:
- CVE-2025-21333, Windows Hyper-V NT Çekirdek VSP’deki bir ayrıcalık yükselmesi (EoP) güvenlik açığı;
- CVE-2025-21334, aynı hizmetteki ikinci bir EoP güvenlik açığı;
- CVE-2025-21335, aynı hizmetteki üçüncü bir EoP güvenlik açığı.
Windows Hyper-V NT Kernel VSP’deki bu kusurların yaygın olarak istismar edildiği biliniyor ancak bu istismarlar henüz kamuya açıklanmadı; geri kalan beşi için ise bunun tersi geçerli. Bunlar:
Qualys Tehdit Araştırma Birimi güvenlik açığı yöneticisi Saaed Abbasi, Hyper-V sorunlarına zamanında yama uygulanmasının, aktif saldırı altında oldukları için kritik olduğunu söyledi.
Abbasi, “Kimliği doğrulanmış bir kullanıcının SİSTEM ayrıcalıklarını yükseltmesine ve etkilenen ortamın tam kontrolünü ele geçirmesine olanak tanıyor” dedi.
“Genellikle misafirden sunucuya/hipervizöre geçiş CVSS’nin gerçekleştiğini gösterir [Common Vulnerability Scoring System] kapsam değişikliği, ancak Microsoft’un mevcut açıklaması bunu açıkça doğrulamadı; bu da daha fazla ayrıntıya ihtiyaç duyulduğunu öne sürüyor; bu yalnızca bireysel VM’yi değil tüm ana bilgisayar altyapısını tehlikeye atabilir [virtual machine].”
SİSTEM düzeyinde ayrıcalıklara ulaşabilen bir tehdit aktörü, savunucular için ciddi bir endişe kaynağıdır çünkü bu, yerleşik güvenlik araçlarını devre dışı bırakmak veya hedef ortamdaki etki alanları arasında geçiş yapmak için kimlik bilgilerinin boşaltılması gibi diğer eylemlerin kapısını açar. Bu tür teknikler hem mali motivasyonlu siber suç çeteleri hem de ulus devlet destekli casusluk operatörleri tarafından sıklıkla kullanılıyor.
Access’i alıyor musunuz, almıyor musunuz?
Bu arada Rapid7’nin baş yazılım mühendisi Adam Barnett, kuralı Microsoft Access’teki üç benzer RCE sorunu üzerinde çalıştırdı.
Barnett, başarılı bir istismarın – gerçekleşmesi durumunda – kullanıcının kötü amaçlı bir dosyayı indirmesi ve açması için kandırılmasını gerektireceğini ve bunun da yığın tabanlı bir arabellek taşması yoluyla kod yürütülmesine yol açacağını ayrıntılı olarak açıkladı.
“İlginç bir şekilde, danışma amaçlı SSS’nin bir bölümünde güncelleme korumasını ‘potansiyel olarak kötü amaçlı uzantıların bir e-postayla gönderilmesinin engellenmesi’ olarak tanımlanıyor, ancak danışma belgesinin geri kalanı bunun kötü amaçlı etkinliği nasıl önleyeceğini açıklamıyor” dedi. Barnett.
“Genellikle yamalar, kötü amaçlı bir e-posta ekinin alınması üzerine kötü amaçlı bir ekin gönderilmesini engellemek yerine, kötü amaçlı dosyaları engelleyerek koruma sağlar; çünkü bir saldırgan, kontrol ettiği herhangi bir sistemden istediğini göndermekte özgürdür.
“Her halükarda, SSS, normalde kötü amaçlı bir ekle etkileşime girecek olan kullanıcıların bunun yerine bir ek olduğunu ancak ‘erişilemediğini’ bildiren bir bildirim alacaklarını belirtiyor; bu belki de gördüğümüz en iyi kelime oyunu. bir süre sonra MSRC’den gelecek” dedi.
Barnett, Windows Temalarındaki kimlik sahtekarlığı kusuru hakkında, pek çok yöneticinin ve kullanıcının, kullanıcıların masaüstlerini arka plan resimleri, ekran koruyucular vb. ile çoğu zaman kişiselleştirmesine olanak tanıyan bu özelliği düşünmeyebileceğini, ancak yine de ödeme yapılmasının gerekli olduğunu söyledi. Windows mülkünün tüm yönlerine yakından dikkat.
“Başarılı bir şekilde istismar, bir NTLM karmasının uygunsuz bir şekilde ifşa edilmesine yol açar, bu da bir saldırganın, onu elde ettiği kullanıcının kimliğine bürünmesine olanak tanır” dedi.
“Tavsiye niteliğindeki SSS, açıklama yapmadan sömürü metodolojisi etrafında dans ediyor; Öğrendiğimiz şey şu ki, bir saldırgan bir şekilde hedef sisteme kötü amaçlı bir dosya gönderdiğinde, kullanıcının kötü amaçlı dosyayı değiştirmesi gerekir, ancak onu tıklaması veya açması gerekmez.
“Daha fazla ayrıntı vermeden yalnızca spekülasyon yapabiliriz, ancak İndirilenler klasörü de dahil olmak üzere dosyayı içeren bir klasörü Windows Gezgini’nde açmanın veya bir USB sürücü takmanın, güvenlik açığını tetiklemek ve NTLM karma sızıntınızı sessizce görmek için yeterli olması mantıklıdır. Tehdit aktörü tarafından tahsil edilmek üzere.”