Microsoft Salı günü piyasaya sürülmüş Vahşi doğada aktif olarak kullanıldığını söylediği altı sıfır günü de dahil olmak üzere, yazılımındaki 57 güvenlik açıklığını ele almak için güvenlik güncellemeleri.
56 kusurdan altısı kritik olarak derecelendirilmiştir, 50’si önemlidir ve biri şiddet açısından düşük olarak derecelendirilmiştir. Adresli güvenlik açıklarının yirmi üçü uzaktan kod yürütme hatalarıdır ve 22’si ayrıcalık artışı ile ilgilidir.
Güncellemeler ek olarak 17 güvenlik açığı Microsoft, geçen ayki Patch Salı güncellemesinin piyasaya sürülmesinden bu yana krom tabanlı kenar tarayıcısına hitap etti, bunlardan biri tarayıcıya özgü bir sahtekarlık kusuru (CVE-2025-26643CVSS puanı: 5.4).
Aktif sömürü altına giren altı güvenlik açığı aşağıda listelenmiştir –
- CVE-2025-24983 (CVSS Puanı: 7.0)-Yetkili bir saldırganın yerel olarak ayrıcalıkları yükseltmesine izin veren bir Windows Win32 Çekirdek Alt Sistem Kullanımdan Arık (UAF) güvenlik açığı
- CVE-2025-24984 (CVSS Puanı: 4.6) – Bir Windows NTFS Bilgi Açıklama Güvenlik Açığı, bir hedef cihaza fiziksel erişimi olan bir saldırganın ve kötü niyetli bir USB sürücüsünü potansiyel olarak okumak için yığın belleği bölümlerini okumak için takma yeteneğine izin veren güvenlik açığı
- CVE-2025-24985 (CVSS Puanı: 7.8) – Yetkisiz bir saldırganın kodu yerel olarak yürütmesine izin veren Windows Fast Fat Dosya Sistemi Sürücüsünde bir tamsayı taşma güvenlik açığı
- CVE-2025-24991 (CVSS Puanı: 5.5)-Windows NTF’lerde yetkili bir saldırganın yerel olarak bilgileri ifşa etmesine izin veren sınır dışı okunan bir güvenlik açığı
- CVE-2025-24993 (CVSS Puanı: 7.8) – Windows NTF’lerde, yetkisiz bir saldırganın yerel olarak kodu yürütmesine izin veren yığın tabanlı bir tampon taşma güvenlik açığı
- CVE-2025-26633 (CVSS Puanı: 7.0) – Microsoft yönetim konsolunda, yetkisiz bir saldırganın yerel olarak bir güvenlik özelliğini atlamasına izin veren uygunsuz bir nötralizasyon kırılganlığı
CVE-2025-24983’ü keşfetme ve raporlama ile kredilendirilen ESET, ilk olarak Mart 2023’te Wild’daki sıfır gün istismarını keşfettiğini ve ödün verilen ana bilgisayarlarda Pipemagik adlı bir arka kapı aracılığıyla teslim edildiğini söyledi.
“Güvenlik açığı, Win32k sürücüsünde kullanılmayan bir kullanımdır,” dikkat çeken. “WaitForInputIdle API kullanılarak elde edilen belirli bir senaryoda, W32 işlem yapısı olması gerektiğinden bir kez daha sertleşir, UAF’a neden olur. Güvenlik açığına ulaşmak için bir yarış koşulu kazanılmalıdır.”
İlk olarak 2022’de keşfedilen Pipemagic, Asya ve Suudi Arabistan’daki varlıkları hedefleyen eklenti tabanlı bir Truva atıdır ve kötü amaçlı yazılım, 2024’ün sonlarında sahte bir openai chatgpt uygulaması şeklinde dağıtılır.
“Pipemagik’in benzersiz özelliklerinden biri, \. Boru 1 formatında adlandırılmış bir boru oluşturmak için 16 baytlık rastgele bir dizi üretmesidir.
“Bu boru, kodlanmış yükler almak için kullanılır, varsayılan yerel arabirim üzerinden durdurma sinyalleri. Pipemagik genellikle bu durumda Microsoft Azure’da barındırılan bir komut ve kontrol (C2) sunucusundan indirilen birden fazla eklenti ile çalışır.”
Sıfır günlük girişimi, CVE-2025-26633’ün MSC dosyalarının nasıl işlendiğinden kaynaklandığını ve bir saldırganın dosya itibar korumalarından kaçmasına ve geçerli kullanıcı bağlamında kod yürütmesine izin verdiğini belirtti. Etkinlik, EncryPthub olarak izlenen bir tehdit oyuncusu ile ilişkilendirilmiştir (AKA LARVA-208).
Eylem1 işaret etti Bu tehdit aktörleri, uzaktan kod yürütülmesine (CVE-2025-24985 ve CVE-2025-24993) ve bilgi açıklaması (CVE-2025-24984 ve CVE-2025-24991) neden olmak için temel Windows dosya sistemi bileşenlerini etkileyen dört güvenlik açıkını zincirleyebilir. Dört böceğin hepsi anonim olarak bildirildi.
İndersife Tehdit Araştırma Kıdemli Direktörü Kev Breen, “Özellikle, istismar, kötü niyetli bir VHD dosyası hazırlayan ve bir kullanıcıyı bir VHD dosyasını açmaya veya monte etmeye ikna eden saldırgana dayanıyor.” Dedi. “VHD’ler sanal sabit disklerdir ve genellikle işletim sisteminin sanal makineler için depolanmasıyla ilişkilidir.”
“Sanal makinelerle daha tipik olarak ilişkilendirilse de, tehdit aktörlerinin AV çözümlerinden geçtikçe kötü amaçlı yazılım yüklerini kaçırmak için kimlik avı kampanyalarının bir parçası olarak VHD veya VHDX dosyalarını kullandıkları örnekler gördük. Bir VHD dosyasında çift tıklama, kapsayıcıyı monte etmek için yeterli olabilir.
Satnam Narang’a göre, Tenable’da kıdemli personel araştırma mühendisi, CVE-2025-26633, MMC’de CVE-2024-43572 ve CVE-2025-24985’ten sonra vahşi bir gün olarak sömürülen ikinci kusurdur.
Geleneksel olduğu gibi, şu anda geri kalan güvenlik açıklarının, hangi bağlamda ve saldırıların tam ölçeğinden yararlandığı bilinmemektedir. Geliştirme var istenmiş ABD Siber Güvenliği ve Altyapı Güvenlik Ajansı (CISA), bunları bilinen sömürülen güvenlik açıklarına (Kev) katalog, federal ajansların düzeltmeleri 1 Nisan 2025’e kadar uygulamasını istemek.
Diğer satıcılardan yazılım yamaları
Microsoft’a ek olarak, son birkaç hafta içinde diğer satıcılar tarafından güvenlik açıklamaları, – dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için de yayınlandı.
