CISA, tehdit aktörlerinin artık yama uygulanmamış sistemlerde SİSTEM ayrıcalıkları kazanmalarına olanak tanıyan yüksek önem derecesine sahip bir Windows SMB ayrıcalık yükseltme güvenlik açığından aktif olarak yararlandığını söylüyor.
CVE-2025-33073 olarak izlenen bu güvenlik açığı, tüm Windows Server ve Windows 10 sürümlerinin yanı sıra Windows 11 24H2’ye kadar Windows 11 sistemlerini de etkiliyor.
Microsoft, güvenlik açığını Haziran 2025 Yaması Salı günü yamaladı ve bu güvenlik açığının, yetkili saldırganların ağ üzerinden ayrıcalıkları yükseltmesine olanak tanıyan uygunsuz bir erişim kontrolü zayıflığından kaynaklandığını da ortaya çıkardı.
Şirket, “Saldırgan, kurbanı, saldırgan tarafından kontrol edilen kötü amaçlı bir uygulama (örneğin, SMB) sunucusuna bağlanmaya ikna edebilir. Kötü amaçlı sunucu, bağlantı kurulduğunda protokolü tehlikeye atabilir” diye açıkladı.
“Saldırgan, bu güvenlik açığından yararlanmak için, kurbanın makinesini SMB kullanarak saldırı sistemine geri bağlanmaya ve kimlik doğrulaması yapmaya zorlamak amacıyla özel hazırlanmış kötü amaçlı bir komut dosyası çalıştırabilir. Bu, ayrıcalığın yükselmesine neden olabilir.”
O dönemde bir güvenlik tavsiyesi, hatayla ilgili bilgilerin güvenlik güncellemeleri yayınlanmadan önce zaten kamuya açık olduğunu belirtmişti ancak şirket, CISA’nın CVE-2025-33073’ün aktif olarak kullanıldığı yönündeki iddialarını henüz kamuya açık bir şekilde kabul etmedi.
Microsoft, bu kusurun keşfedilmesini aralarında CrowdStrike’dan Keisuke Hirata, Synacktiv’den Wilfried Bécard, SySS GmbH’den Stefan Walter, Google Project Zero’dan James Forshaw ve RedTeam Pentesting GmbH’nin de bulunduğu çok sayıda güvenlik araştırmacısına bağladı.
CISA, devam eden CVE-2025-33073 saldırılarıyla ilgili henüz daha fazla bilgi paylaşmadı, ancak kusuru Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na ekleyerek Federal Sivil Yürütme Organı (FCEB) kurumlarına, Bağlayıcı Operasyonel Direktif (BOD) 22-01’in zorunlu kıldığı şekilde 10 Kasım’a kadar sistemlerini güvence altına almaları için üç hafta süre verdi.
BOD 22-01 yalnızca federal kurumları hedef alırken, ABD siber güvenlik kurumu, özel sektördekiler de dahil olmak üzere tüm kuruluşları, aktif olarak yararlanılan bu güvenlik hatasının mümkün olan en kısa sürede düzeltilmesini sağlamaya teşvik ediyor.
CISA Pazartesi günü yaptığı açıklamada, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur.” uyarısında bulundu.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.