Zoom Video Communications, Windows tabanlı istemcilerinde tespit edilen iki kritik güvenlik zafiyetini gidermek için güvenlik güncellemesi yayınladı. Bu zafiyetler, yetkisiz kullanıcıların sistem ayrıcalıklarını yükseltmesine ve uygulama bütünlüğünü tehdit etmesine olanak sağlayabilir.
Zafiyet Detayları
1. CVE-2025-49456 – Race Condition Zafiyeti
Temel Bilgiler:
- CVE Kodu: CVE-2025-49456
- CVSS Skoru: 6.2 (Orta Seviye)
- Zafiyet Türü: Yarış Durumu (Race Condition)
- Etki Kapsamı: Uygulama bütünlüğü
Nedir: Bu zafiyet, Zoom Windows istemcilerinin kurulum sürecinde oluşan bir yarış durumundan kaynaklanır. Yarış durumu, iki veya daha fazla işlemin aynı kaynağa eş zamanlı erişim sağlamaya çalıştığında ve sonucun bu işlemlerin zamanlamasına bağlı olduğu durumlarda ortaya çıkar.
Nasıl Çalışır:
- Saldırgan, kurulum sürecinin başlatılmasını bekler
- Kurulum dosyaları henüz güvenli hale getirilmeden önce müdahale eder
- Meşru uygulama dosyalarını değiştirir veya zararlı kodlarla değiştirir
- Kurulum tamamlandığında, zararlı kod sisteme entegre olur
Etkilenme Koşulları:
- Saldırganın sisteme yerel erişimi olması gerekir
- Zoom kurulum sürecinin aktif olması gerekir
- Saldırganın dosya sistemine yazma yetkisi bulunması gerekir
2. CVE-2025-49457 – Güvenilmez Arama Yolu Zafiyeti
Temel Bilgiler:
- CVE Kodu: CVE-2025-49457
- CVSS Skoru: 9.6 (Kritik Seviye) / 5.9 (CVSSv4.0)
- CWE Kodu: CWE-426
- Zafiyet Türü: Untrusted Search Path
- Etki Kapsamı: Ayrıcalık Yükseltme
Nedir: Bu zafiyet, Windows sistemlerde DLL (Dynamic Link Library) ve çalıştırılabilir dosyaların aranma sırasında güvenilmez yolların kullanılmasından kaynaklanır. Windows, bir uygulamanın ihtiyaç duyduğu dosyaları belirli bir sırayla arar ve bu arama sırası manipüle edilebilir.
Nasıl Çalışır:
- Saldırgan, Zoom’un arayacağı meşru dosyanın ismini taşıyan zararlı bir dosya hazırlar
- Bu zararlı dosyayi, Zoom’un arama yapacağı ilk lokasyonlardan birine yerleştirir
- Zoom uygulaması başlatıldığında, meşru dosya yerine zararlı dosyayı bulur ve çalıştırır
- Zararlı kod, Zoom’un ayrıcalıklarıyla çalışır ve sistem üzerinde tam kontrol sağlar
Windows DLL Arama Sırası:
- Uygulamanın bulunduğu dizin
- Sistem dizini (System32)
- Windows dizini
- Geçerli çalışma dizini
- PATH çevre değişkenindeki dizinler
Etki Kapsamı ve Risk Değerlendirmesi
Etkilenen Ürünler ve Versiyonlar
Zoom Workplace Desktop App:
- Etkilenen versiyonlar: 0.9.10042.0911 – 6.3.6.56144
- Platform: Windows
Virtual Desktop Infrastructure (VDI):
- Etkilenen versiyonlar: 6.1.0 – 6.2.11.25670
- Platform: Windows
Zoom Rooms Client:
- Etkilenen versiyonlar: 4.6.5 18374.0407 – 6.3.0
- Platform: Windows
Zoom Rooms Controller:
- Etkilenen versiyonlar: 6.1.0 – 6.3.5
- Platform: Windows
Zoom Meeting SDK:
- Etkilenen versiyonlar: 5.9.0 – 6.3.5
- Platform: Windows
Risk Senaryoları
Kurumsal Ortamlar:
- Paylaşılan ağ sürücülerinde zararlı dosyaların yerleştirilmesi
- Toplantı odalarındaki Zoom Room sistemlerinin ele geçirilmesi
- VDI ortamlarında tüm kullanıcıların etkilenmesi
Son Kullanıcılar:
- Kötü niyetli yazılımların sistem yöneticisi yetkisiyle çalışması
- Kimlik bilgilerinin çalınması
- Uzaktan sistem kontrolünün ele geçirilmesi
Etkilenmeyi Tespit Etme Yöntemleri
1. Versiyon Kontrolü
Windows Komut Satırı ile:
wmic product where "name like '%Zoom%'" get name,versionPowerShell ile:
Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like "*Zoom*"} | Select-Object Name, VersionZoom Uygulaması Üzerinden:
- Zoom uygulamasını açın
- Profil resminize tıklayın
- “Ayarlar” > “Hakkında” menüsüne gidin
- Versiyon bilgisini kontrol edin
2. Güvenlik Log Analizi
Windows Event Logs:
eventvwr.msc- Windows Logs > Security bölümünde Event ID 4688 (Yeni süreç oluşturma) kayıtlarını inceleyin
- Zoom.exe ile ilgili şüpheli süreç başlatmalarını arayın
PowerShell Log Analizi:
Get-EventLog -LogName Security -InstanceId 4688 | Where-Object {$_.Message -like "*zoom*"}3. Dosya Sistemi Kontrolü
Şüpheli DLL Dosyalarını Tespit Etme:
dir "C:\Users\%USERNAME%\AppData\Roaming\Zoom" /s /b *.dllProcess Monitor (ProcMon) ile İzleme:
- Microsoft Sysinternals Process Monitor’ü indirin
- Zoom.exe süreçlerini filtreleyin
- File System Activity bölümünde PATH NOT FOUND sonuçlarını inceleyin
- Bu yollar potansiyel saldırı vektörleridir
Korunma ve Çözüm Önerileri
Acil Eylemler
1. Derhal Güncelleme:
- Zoom Download Center’dan en güncel versiyonu indirin
- Otomatik güncellemeyi etkinleştirin
- Tüm Zoom ürünlerinin güncel olduğundan emin olun
2. Sistem Tarama:
sfc /scannow
dism /online /cleanup-image /restorehealthProaktif Güvenlik Önlemleri
1. Group Policy ile DLL Hijacking Koruması:
Computer Configuration > Administrative Templates > System > Specify the search order for DLL loading2. Windows Defender Application Control (WDAC):
- Yalnızca güvenilen uygulamaların çalışmasına izin ver
- Code integrity politikaları uygula
3. Kullanıcı Hesap Kontrolü (UAC):
- UAC seviyesini “Her zaman bildir” olarak ayarla
- Standard kullanıcı hesaplarıyla çalış
4. Network Segmentation:
- Zoom trafiğini izole edilmiş ağ segmentinde çalıştır
- Gereksiz ağ paylaşımlarını kapat
İzleme ve Tespit
1. PowerShell ile Sürekli İzleme:
Register-WmiEvent -Query "SELECT * FROM Win32_ProcessStartTrace WHERE ProcessName='zoom.exe'" -Action {
Write-Host "Zoom process started: $($Event.SourceEventArgs.NewEvent.ProcessName)"
# Log kayıt işlemleri
}2. SIEM Entegrasyonu:
- Zoom ile ilgili tüm process başlatmalarını logla
- Anormal DLL yükleme davranışlarını tespit et
- Privilege escalation aktivitelerini izle
Teknik Detaylar ve Analiz
DLL Search Order Hijacking Detayı
Windows sistemlerde DLL arama mekanizması şu sırayı takip eder:
- SafeDllSearchMode Etkin (Varsayılan):
- Uygulama dizini
- System32 dizini
- 16-bit sistem dizini
- Windows dizini
- Geçerli dizin
- PATH değişkenindeki dizinler
- Saldırı Vektörleri:
- Geçerli çalışma dizinine zararlı DLL yerleştirme
- PATH değişkenindeki dizinleri manipüle etme
- UNC yolu üzerinden ağ paylaşımına zararlı dosya yerleştirme
Race Condition Detayı
Kurulum sürecindeki yarış durumu şu aşamalarda gerçekleşir:
- Kurulum Başlatma: Installer çalışmaya başlar
- Geçici Dosya Oluşturma: Kurulum dosyaları geçici dizine çıkartılır
- Güvenlik Kontrolü: Dosyaların bütünlüğü kontrol edilir
- Saldırı Penceresi: Bu kontrol aşamasında dosyalar değiştirilebilir
- Kurulum Tamamlama: Değiştirilmiş dosyalar sisteme kurulur
Sonuç ve Öneriler
Bu zafiyetler, özellikle kurumsal ortamlarda ciddi güvenlik riskleri oluşturmaktadır. CVE-2025-49457’nin kritik seviyedeki CVSS skoru, bu zafiyetin sistem bütünlüğü için ne kadar tehlikeli olduğunu göstermektedir.
Öncelikli Eylemler:
- Tüm Zoom ürünlerini derhal güncelleyin
- Sistem bütünlüğünü kontrol edin
- Güvenlik politikalarınızı gözden geçirin
- Kullanıcılarınızı bilgilendirin
Uzun Vadeli Stratejiler:
- Automated patch management sistemleri kurun
- Application whitelisting politikaları uygulayın
- Privilege escalation saldırılarını tespit edecek monitoring sistemleri kurun
- Regular security assessment programları oluşturun
Bu zafiyetler, modern yazılım güvenliğinde sürekli vigilance gerektiren konuların tipik örnekleridir. Proaktif güvenlik önlemleri ve hızlı yanıt kabiliyeti, bu tür tehditlere karşı en etkili savunma mekanizmalarıdır.
About the Author
