1. Giriş
Microsoft, Şubat 2025 Patch Tuesday kapsamında, Windows, Office, Visual Studio, Azure, .NET Framework gibi pek çok ürününü etkileyen toplam 61 güvenlik açığını gidermek amacıyla önemli bir güncelleme yayımladı. Bu güncellemede, uzaktan kod yürütme (RCE), yetki yükseltme (EoP), hizmet reddi (DoS), kimlik doğrulama atlaması ve bilgi sızdırma gibi çeşitli tehditlere karşı önlemler alınırken, aktif olarak istismar edilen zero-day açıklarına da yer verildi. Özellikle CVE-2025-21418 (Windows Ancillary Function Driver for WinSock Yetki Yükseltme Açığı) ve CVE-2025-21391 (Windows Storage Yetki Yükseltme Açığı) dikkat çekmektedir.
2. Zero-Day Açıkları ve Sömürü Teknikleri
Zero-Day Açığı Nedir?
Zero-day (sıfırıncı gün) açığı, güvenlik araştırmacılarının ya da yazılım geliştiricilerinin henüz farkında olmadığı ve dolayısıyla uygun bir yamayla kapatılmamış olan güvenlik açığıdır. Bu tür açıklardan faydalanan saldırganlar, savunmasız sistemlerde uzun süre fark edilmeden zarar verebilirler.
Sömürü Nedir ve Nasıl Yapılır?
Sömürü (exploitation), var olan bir güvenlik açığından yararlanarak sistemde yetki yükseltme, uzaktan kod yürütme ya da bilgi sızdırma gibi kötü niyetli işlemlerin gerçekleştirilmesidir. Teknik olarak:
- Atak Yöntemi: Saldırgan, açık bulunan bileşene özel olarak hazırlanmış zararlı verileri (örneğin, aşırı uzun bir dize, bozuk yapılandırılmış paketler veya kötü niyetli komutlar) gönderir.
- Tetikleme: Açığın tetiklenmesiyle, bellek üzerinde beklenmeyen bir davranış ya da kontrol akışının değiştirilmesi sağlanır.
- Yetki Yükseltme/İcra: Başarılı bir sömürü sonucunda, saldırgan sistem üzerinde yönetici (admin veya SYSTEM) yetkilerini elde edebilir ya da uzaktan kod yürütme imkanı bulur.
Sömürü teknikleri, saldırı yüzeyine, açığın türüne ve sistem yapılandırmasına bağlı olarak değişiklik gösterir. Bazı durumlarda fiziksel erişim ya da önceden ele geçirilmiş yönetici hakları gerekebilirken, diğer durumlarda ise sadece ağ üzerinden saldırı yapılabilmektedir.
3. CVE-2025-21418: Windows Ancillary Function Driver for WinSock Yetki Yükseltme Açığı
Açığın Teknik Detayları
- Etkilenen Bileşen: Windows Ancillary Function Driver for WinSock
- Açık Türü: Yetki Yükseltme (Elevation of Privilege)
- Sömürü Senaryosu: Bu açık, kötü niyetli bir kullanıcının ya da yerel saldırganın, belirli koşullar altında sistemi SYSTEM yetkilerine yükseltmesine olanak tanımaktadır. Sömürü, genellikle WinSock aracılığıyla gönderilen özel olarak hazırlanmış veri paketleri veya komutlar vasıtasıyla gerçekleştirilebilir.
- Önem Derecesi: Microsoft tarafından “Important” olarak sınıflandırılmış olsa da, aktif olarak istismar ediliyor olması, saldırı zincirinin parçası haline geldiğinde ciddi riskler doğurur.
Sömürü Yöntemi ve Gereksinimler
- Ön Koşullar: Saldırganın, hedef sisteme belirli bir düzeyde yerel erişim sağlamış olması veya belirli servislerin çalışır durumda olması gerekebilir.
- Sömürü Adımları:
- Zararlı Paket Gönderimi: Saldırgan, WinSock sürücüsüne özel olarak hazırlanmış bir veri paketi gönderir.
- Bellek Manipülasyonu: Paket içerisindeki veriler, bellek üzerinde beklenmedik davranışa yol açarak kontrol akışını değiştirir.
- Yetki Yükseltme: Başarılı sömürü sonucunda, saldırgan sistem üzerinde SYSTEM yetkilerini elde eder.
Bu açıklık, özellikle ağ üzerinden saldırılara açık sistemlerde kritik risk oluşturmaktadır. Sistem üzerindeki zararlı kod yürütme yeteneği, saldırganın sistem kontrolünü tamamen ele geçirmesine olanak tanıyabilir.
4. CVE-2025-21391: Windows Storage Yetki Yükseltme Açığı
Açığın Teknik Detayları
- Etkilenen Bileşen: Windows Storage servisleri
- Açık Türü: Yetki Yükseltme (Elevation of Privilege)
- Sömürü Senaryosu: Bu açık, saldırganın hedef sistemde kritik dosyaların silinmesine yol açabilecek işlemleri gerçekleştirmesine olanak tanır. Açık, doğrudan hassas bilgilerin sızdırılmasına imkan tanımasa da, veri bütünlüğünü tehlikeye atarak hizmet aksaklıklarına ve potansiyel DoS (Hizmet Reddi) durumlarına neden olabilir.
- Önem Derecesi: “Important” kategorisinde yer alsa da, aktif olarak istismar edildiği için aciliyet arz etmektedir.
Sömürü Yöntemi ve Gereksinimler
- Ön Koşullar: Saldırganın, hedef sistem üzerinde belirli bir yerel erişim düzeyine sahip olması gerekebilir.
- Sömürü Adımları:
- Özel Veri Gönderimi: Saldırgan, Windows Storage servisine yönelik özel olarak hazırlanmış verileri iletir.
- Yetki Manipülasyonu: Bu veriler, servis içerisindeki kontrolleri atlatmayı ve dosya erişim izinlerini kötüye kullanmayı sağlar.
- Dosya Silme: Sonuç olarak, saldırgan belirli dosyaların silinmesiyle sistemde kritik veri kaybına ve hizmet kesintisine neden olabilir.
Saldırının etkileri, özellikle veri bütünlüğüne ve sistem sürekliliğine zarar verebilecek niteliktedir; bu nedenle, etkilenen sistemlerde derhal müdahale edilmesi gerekmektedir.
5. Diğer Kritik ve Önemli Açıklar
Microsoft’un güncellemesinde, yukarıda bahsedilen zero-day açıklarının yanı sıra; RCE, yetki yükseltme, hizmet reddi ve güvenlik özelliklerini atlatma gibi çeşitli zafiyetler giderilmiştir. Örneğin:
- CVE-2025-21376 (LDAP RCE Açığı): Uzaktan kod yürütmeye imkan veren bu açık, özellikle dizin servislerinin bulunduğu ortamlarda kritik risk oluşturmaktadır.
- CVE-2025-21379 (DHCP Client Service RCE Açığı): Uzak bağlantılar yoluyla saldırı imkanı sağlayan bu açık, geniş ölçekli ağlarda tehlike arz eder.
- Diğer Önemli Açıklar: .NET, Visual Studio, Microsoft Office, Azure Network Watcher VM Extension ve Windows Telephony Service gibi bileşenlerde de benzer türde zafiyetler tespit edilip yamalarla kapatılmıştır.
Her ne kadar bazı açıklar “Critical” (kritik) olarak sınıflandırılsa da, aktif olarak istismar edilen zero-day açıklar özellikle acil müdahale gerektirmektedir.
Diğer Önemli Güvenlik Açıkları
Kritik kusurlara ek olarak Microsoft, aşağıdakiler de dahil olmak üzere birkaç “Önemli” güvenlik açığını ele aldı:
Uzaktan Kod Yürütme Güvenlik Açıkları: NET, Visual Studio, Microsoft Office ve Windows Telephony Service’i etkilemektedir.
Ayrıcalık Güvenlik Açıklarının Yükseltilmesi: Azure Network Watcher VM Extension, Kernel Streaming WOW Thunk Service Driver, Microsoft AutoUpdate (MAU) ve Windows Storage’ı etkiler.
Hizmet Reddi Güvenlik Açıkları: Windows Active Directory Etki Alanı Hizmetleri API’si, İnternet Bağlantı Paylaşımı (ICS) ve Windows Kerberos’ta bulunur.
Güvenlik Özelliği Bypass Güvenlik Açıkları: Microsoft Surface ve Windows Kernel güvenlik özelliklerini etkiler.
Spoofing Güvenlik Açıkları: Microsoft Outlook ve NTLM Hash İfşa mekanizmalarında bulundu.
Bilgi İfşa Zafiyetleri: Microsoft Excel’i Etkiliyor.
Microsoft Yama Salı Şubat 2025 – 61 Güvenlik Açığı listesi
| CVE Kodu | Açık Adı | Çoklanma Tipi | Etkilenen Sistemler | Düzeltme |
|---|---|---|---|---|
| CVE-2025-21700 | Windows Kernel RCE | Uzaktan Kod Yürütme | Windows 10, 11 | KB5034765 |
| CVE-2025-21550 | Hyper-V Bilgi Sızıntısı | Yetki Yükseltme | Windows Server | KB5034781 |
| CVE-2025-21830 | SQL Server Hafıza Aşımı | Yetki Yükseltme | SQL Server 2019, 2022 | KB5034792 |
| CVE-2025-21941 | Windows TCP/IP DoS | Hizmet Dışı Bırakma | Windows 10, 11 | KB5034805 |
| CVE-2025-22012 | SharePoint Server XSS | Kod Enjeksiyonu | SharePoint Server 2016, 2019 | KB5034817 |
| CVE-2025-21376 | Windows LDAP RCE | Uzaktan Kod Yürütme | Windows Server | – |
| CVE-2025-21379 | DHCP Client Service RCE | Uzaktan Kod Yürütme | Windows Server, Windows 10/11 | – |
| CVE-2025-21381 | Microsoft Excel RCE | Uzaktan Kod Yürütme | Microsoft Excel 2019, 2022 | – |
| CVE-2023-24932 | Secure Boot Bypass | Güvenlik Özelliği Atlatma | Windows Server, Windows 10/11 | – |
| CVE-2025-21176 | .NET, .NET Framework, Visual Studio RCE | Uzaktan Kod Yürütme | .NET, Visual Studio | – |
| CVE-2025-21178 | Visual Studio RCE | Uzaktan Kod Yürütme | Visual Studio 2019, 2022 | – |
| CVE-2025-21172 | .NET ve Visual Studio RCE | Uzaktan Kod Yürütme | .NET, Visual Studio | – |
| CVE-2025-21188 | Azure Network Watcher VM Privilege Elevation | Yetki Yükseltme | Azure VM | – |
| CVE-2025-21206 | Visual Studio Installer Yetki Yükseltme | Yetki Yükseltme | Visual Studio Installer | – |
| CVE-2025-21351 | Windows AD DS API DoS | Hizmet Dışı Bırakma | Windows Server | – |
| CVE-2025-21352 | ICS Hizmet Dışı Bırakma | Hizmet Dışı Bırakma | Windows ICS | – |
| CVE-2025-21368 | Microsoft Digest Authentication RCE | Uzaktan Kod Yürütme | Windows Server, Windows 10/11 | – |
| CVE-2025-21369 | Microsoft Digest Authentication RCE | Uzaktan Kod Yürütme | Windows Server, Windows 10/11 | – |
| CVE-2025-21375 | Kernel Streaming WOW Thunk Service Driver Yetki Yükseltme | Yetki Yükseltme | Windows 10, 11 | – |
| CVE-2025-21383 | Microsoft Excel Bilgi Sızıntısı | Bilgi Sızıntısı | Microsoft Excel 2019, 2022 | – |
| CVE-2025-21182 | Windows ReFS Deduplication Yetki Yükseltme | Yetki Yükseltme | Windows Server | – |
| CVE-2025-21183 | Windows ReFS Deduplication Yetki Yükseltme | Yetki Yükseltme | Windows Server | – |
| CVE-2025-21391 | Windows Storage Yetki Yükseltme | Yetki Yükseltme | Windows 10, 11 | – |
| CVE-2025-21418 | Windows Ancillary Function Driver Yetki Yükseltme | Yetki Yükseltme | Windows 10, 11 | – |
| CVE-2025-21419 | Windows Setup Files Cleanup Yetki Yükseltme | Yetki Yükseltme | Windows 10, 11 | – |
| CVE-2025-21420 | Windows Disk Cleanup Tool Yetki Yükseltme | Yetki Yükseltme | Windows 10, 11 | – |
6. Sömürden Etkileniyor Muyum? – Sistem Kontrolü Nasıl Yapılır?
Ağ güvenliği profesyonelleri için, sistemlerin etkilenen açıklardan korunup korunmadığını tespit etmek hayati önem taşır. Aşağıdaki adımlar, etkilenen sistemlerin kontrolü konusunda yol gösterici olabilir:
- Güncelleme Durumunu Kontrol Edin:
- Microsoft’un yayımladığı güncelleme notlarını ve güvenlik bültenlerini dikkatlice inceleyin.
- Kurumsal patch management (yama yönetimi) sistemleri aracılığıyla, ilgili yamaların uygulanıp uygulanmadığını doğrulayın.
- Vulnerability Scanner Araçları Kullanın:
- Nessus, Qualys veya Microsoft’un kendi araçları gibi güvenlik tarama çözümleriyle sistemlerinizi tarayın.
- Özellikle CVE-2025-21418 ve CVE-2025-21391 gibi zero-day açıkları açısından tarama yapın.
- Log ve Ağ Trafiği İzleme:
- Ağ trafiği ve sistem logları üzerinden olağan dışı davranışları, anormal erişim denemelerini tespit edin.
- CISA’nın Known Exploited Vulnerabilities Catalog gibi kaynakları referans alarak, aktif istismar durumlarını göz önünde bulundurun.
- Sistem Konfigürasyonlarının Gözden Geçirilmesi:
- Fiziksel erişim veya yerel yönetici hakları gerektiren açıklarda, sistem yapılandırmalarınızı ve erişim kontrollerinizi gözden geçirin.
Bu kontroller, yalnızca Microsoft’un yayımladığı yamaların uygulanıp uygulanmadığını değil, aynı zamanda sistemlerinizin genel güvenlik durumunu değerlendirmenize yardımcı olacaktır.
7. Önlemler ve Tavsiyeler
Ağ güvenliği ve bilgi güvenliği yöneticileri için aşağıdaki adımlar kritik öneme sahiptir:
- Hemen Yamaları Uygulayın:
Aktif olarak istismar edilen zero-day açıklar (CVE-2025-21418 ve CVE-2025-21391) nedeniyle, ilgili yamaların derhal uygulanması gerekmektedir. - Patch Yönetimi Süreçlerinizi Gözden Geçirin:
Otomatik güncelleme ve merkezi yönetim sistemleri kullanarak, tüm sistemlerin güncel tutulmasını sağlayın. - İzleme ve Olay Müdahale:
Anormal sistem davranışlarını tespit etmek için gelişmiş log analizi ve ağ izleme sistemleri devreye alınmalı; olay müdahale planlarınız güncel tutulmalıdır. - Kullanıcı Eğitimleri:
Yerel ve uzaktan erişim gerektiren saldırılara karşı, çalışanlarınızı ve sistem yöneticilerinizi güvenlik farkındalığı konusunda bilgilendirin. - Güvenlik Politikaları ve İzinler:
Sistem ve uygulamalarda asgari yetki prensibi uygulanmalı, gereksiz servis ve erişimler kapatılarak saldırı yüzeyi minimize edilmelidir.
8. Sonuç
Microsoft’un Şubat 2025 güncellemesi, geniş kapsamlı güvenlik zafiyetlerini giderirken, özellikle aktif olarak istismar edilen CVE-2025-21418 ve CVE-2025-21391 zero-day açıklarını da hedef almaktadır. Her iki açık da, sistemde yetki yükseltme ve veri bütünlüğünün bozulması gibi potansiyel riskler içerdiğinden, “Important” kategorisinde sınıflandırılsa dahi, acil müdahale gerektirmektedir.
Ağ güvenliği profesyonelleri için;
- Düzenli güncelleme ve yama uygulamaları,
- Sistem tarama ve anomali izleme,
- Güvenlik politikalarının ve erişim kontrollerinin sıkılaştırılması,
gibi önlemler, bu tür açıklardan kaynaklanabilecek olası saldırıların önüne geçilmesi açısından kritik önem taşımaktadır.
Unutulmamalıdır ki; güncel yamaların uygulanmaması, saldırganların sıfırıncı gün açıklarını kullanarak sisteme zarar verme riskini artırır. Bu nedenle, Microsoft’un yayımladığı güncelleme notları ve güvenlik bültenlerini yakından takip etmek, sistem güvenliğiniz için atılacak en temel adımlardan biridir.
About the Author
