Merhaba

Ağustos 2025 Yaması kapsamında Microsoft, çeşitli çözümlerindeki 100’den fazla güvenlik açığını gideren güvenlik güncellemeleri yayınladı. Bu güncellemeler arasında, yetkili bir saldırganın bir BadSuccessor saldırısının parçası olarak ağ üzerinden ayrıcalıklarını yükseltmesine olanak tanıyan Windows Kerberos’taki göreli yol geçişi açığı (CVE-2025-53779) da bulunuyor.

Bu güvenlik açığı, Akamai araştırmacısı Yuval Gordon tarafından keşfedildi. Açık, Windows Server 2025 ile tanıtılan delegated Managed Service Account (dMSA) özelliğini istismar ediyor ve Active Directory (AD) içindeki herhangi bir kullanıcıyı ele geçirmek için kullanılabiliyor.

Microsoft,

Bu güvenlik açığından başarılı bir şekilde yararlanan bir saldırgan, etki alanı yöneticisi ayrıcalıkları elde edebilir

şeklinde doğrulamada bulundu.

Bu güvenlik açığı aylardır biliniyor olsa da, şu ana kadar doğada (wild) istismar edildiğine dair herhangi bir bulgu yok. Microsoft, istismar olasılığını daha az olası olarak değerlendiriyor ve bu nedenle söz konusu güvenlik güncellemesini acil olarak uygulanması gereken kritik bir güncelleme olarak görmüyor.

Tenable’da kıdemli araştırma mühendisi olan Satnam Narang, Help Net Security’ye yaptığı açıklamada şunları söyledi:

BadSuccessor’dan yararlanmak için bir saldırganın, etki alanı denetleyicilerinden en az birinin Windows Server 2025 üzerinde çalıştığı bir etki alanına sahip olması gerekir. Bu şekilde etki alanı ele geçirilebilir.

Ayrıca Satnam Narang, açığın hemen etkisinin sınırlı olduğunu da belirtti; zira açıklamanın kamuya duyurulduğu sırada AD etki alanlarının yalnızca %0,7’si bu ön koşulu karşılıyordu.

Hızlıca Giderilmesi Gereken Güvenlik Açıkları

Qualys’in Tehdit Araştırma Birimi’nde güvenlik araştırmaları kıdemli yöneticisi Saeed Abbasi, geçen ay kuruluşları kimlik doğrulaması gerektirmeyen Remote Code Execution (RCE) açıklarıyla sarsan ToolShell Zero-day (CVE-2025-53770 ve CVE-2025-53771) saldırılarının ardından, Microsoft’un bir başka önemli serileştirme hatasını (CVE-2025-49712) yamaladığını belirtti.

Bu Remote Code Execution (RCE) kimlik doğrulaması gerektiriyor ancak bilinen kimlik doğrulama atlatmalarıyla tehlikeli biçimde birleşiyor. Saldırganlar bunu önceki açıklarla zincirleyerek tam sunucu ele geçirme ve veri sızdırma gerçekleştirebilir. Henüz doğada kullanılmadı ancak tarihten gördüğümüz gibi bu tür açıklar hızla evrim geçiriyor ve dışa açık SharePoint örnekleri yanal hareket için ideal bir basamak. Tüm SharePoint güncellemelerini önceliklendirip yamalayın, anahtarları döndürün ve internet erişimini ortadan kaldırın. Gecikmek hem düzenleyici baskıya hem de ihlallere davetiye çıkarır çünkü SharePoint’in sömürü serisi henüz bitmedi.

Trend Micro’nun Zero Day Initiative (ZDI) tehdit farkındalığı başkanı Dustin Childs, CVE-2025-53731 ve CVE-2025-53740 adlı iki Microsoft Office Remote Code Execution (RCE) açığını öncelikli olarak ele alınması gereken açıklar arasında işaret etti:

Bu, arka arkaya yedinci ay ki en az bir Office bileşeni, Önizleme Bölmesi (Preview Pane) üzerinden kod yürütmeye izin veriyor. Bu kadar farklı bileşenin etkilenmesi, bunların sadece yama atlatmaları olduğuna inanmamı zorlaştırıyor. Daha çok saldırganların az incelenmiş kodları kurcalayıp açıklar bulduğu görülüyor. Belki de Redmond’daki güvenlik ekibi bunu toparlayana kadar Önizleme Bölmesi’ni devre dışı bırakmayı düşünmenin zamanı gelmiştir.

Bir diğer açık, CVE-2025-53766, Windows’un 2D grafik, görüntü ve metin işlemek için kullandığı GDI+ grafik API’sinde bulunan heap tabanlı arabellek taşmasıdır. Bu açık, yetkisiz bir saldırganın ağ üzerinden kod çalıştırmasına olanak tanıyor.

Microsoft’a göre:

Bir saldırgan, özel hazırlanmış bir metafile içeren bir belgenin kurbana indirilip açtırılmasıyla bu açığı tetikleyebilir. En kötü senaryoda, kullanıcı etkileşimi olmadan, web servislerine bu dosyaları yükleyerek açığı istismar etmek mümkün olabilir.

Childs ise en kötü senaryoya şu örneği verdi:

Bir saldırganın, reklam ağı üzerinden dağıtılan içeriklerle bu açığı tetiklemesi. Reklam engelleyiciler sadece rahatsızlıkları engellemez, kötü niyetli reklamlar için de koruma sağlar. Nadir görülür ama geçmişte yaşandı. GDI+ çok sayıda bileşene temas ediyor ve kullanıcılar genelde her şeye tıklıyor. Bu yamayı test edin ve hızlıca dağıtın.

Öte yandan CVE-2025-53778, kimlik doğrulamalı Windows NTLM ayrıcalık yükseltme açığıdır. Saldırı karmaşıklığı düşük ve Microsoft’a göre istismar edilme olasılığı yüksek, bu yüzden hızlıca ele alınmalıdır.

Son olarak, Hibrit Microsoft Exchange dağıtımı çalıştıran kuruluşların, CVE-2025-53786 açığını çözmek için harekete geçmeyen (hala çok sayıda) kurum arasında olup olmadığını kontrol etmesi gerekiyor. Bu ciddi ayrıcalık yükseltme açığı, CISA’nın acil direktif yayımlamasına neden oldu.

Immersive’den siber güvenlik mühendisi Ben McCarthy şöyle açıklıyor:

CVE-2025-53786’nın başarılı istismarı oldukça yıkıcı olur. Bu açık, saldırgana ele geçirilmiş bir şirket içi sunucudan doğrudan bulut ortamına sıçrama (pivot) imkanı veriyor; bu da Exchange Online ve diğer Microsoft 365 hizmetlerinde yönetici kontrolü kazanmasına yol açabilir.

McCarthy, böyle bir saldırının standart denetim günlüklerinde tespit edilmesinin zor olduğuna dikkat çekerek, bu güvenlik açığını kapatmanın yalnızca yamayı kurmaktan ibaret olmadığını vurguladı:

Yöneticiler ayrıca Microsoft’un paylaştığı manuel yapılandırma adımlarını izleyerek hibrit bağlantı için özel bir hizmet sorumlusu (service principal) oluşturmalı. Bu sayede aşırı izinli ortak güven ilişkisi kırılır ve şirket içi sunucu yalnızca gerçekten ihtiyaç duyduğu sınırlı izinlere sahip olur.