CVE-2025-24054 nedir?
Bu güvenlik açığı nasıl exploitediliyor?
NTLM hash’leri ne anlama geliyor?
CVE-2025-24054’ün etkileri nelerdir?
Kuruluşlar bu durumu nasıl yönetebilir?
CVE-2025-24054 nedir?
CVE-2025-24054, Microsoft’un Windows işletim sistemindeki bir güvenlik açığıdır. Bu açık, NTLM (New Technology LAN Manager) hash’lerinin dışa sızmasını sağlamakta ve bu durum, siber suçlular tarafından kötüye kullanılmaktadır. Microsoft, bu açığı gideren bir güncellemeyi Mart 2025 Patch Tuesday etkinliğinde yayımlamıştır. Başlangıçta, bu açık "aktif olarak kullanılmıyor" olarak değerlendirildi ve bu nedenle ‘daha az olası’ olarak sınıflandırıldı. Ancak, güvenlik araştırmacıları, bu açığın yayımlanan yamanın ardından yalnızca birkaç gün içinde aktif olarak kullanıldığını gözlemlediler.
Bu güvenlik açığı nasıl exploitediliyor?
CVE-2025-24054, siber saldırganların NTLM hash’lerini ele geçirmesine olanak tanıyan zararlı bir .library-ms dosyası ile birlikte gerçekleştirilen phishing (oltalama) saldırılarından faydalanmaktadır. Bu saldırılar, Polonya ve Romanya gibi ülkelerdeki hedeflere Dropbox bağlantıları içeren oltalama e-postaları gönderilerek yapılmaktadır. Dosya açıldığında, Windows işletim sistemi, içerdiği URL üzerinden uzaktaki bir SMB (Server Message Block) sunucusuna otomatik olarak bağlanır ve bu sırasında NTLM kimlik doğrulama süreci tetiklenir. Saldırgan, bu işlemle birlikte hedef kullanıcının NTLM hash’lerini ele geçirebilir.
NTLM hash’leri ne anlama geliyor?
NTLM, Microsoft tarafından geliştirilen bir kimlik doğrulama protokolüdür. Bu protokol, kullanıcıların kimliklerini doğrulamak için şifrelerin düz metin olarak iletilmesi yerine, bu şifrelerden türetilen hash değerlerini kullanır. Ancak, NTLM protokolü artık güvenilir kabul edilmemektedir. Çünkü replay (tekrar oynatma) saldırıları ve elde edilen hash’lerin brute-force (kaba kuvvet) yöntemleriyle kırılabilmesi gibi çeşitli güvenlik açıkları barındırmaktadır. Microsoft, NTLM kimlik doğrulamayı, daha güvenli olan Kerberos protokolü ile değiştirmeye yönelik adımlar atmaktadır.
CVE-2025-24054’ün etkileri nelerdir?
CVE-2025-24054, oldukça kritik bir güvenlik açığıdır. Saldırganlar, bu açığı kullanarak NTLM hash’lerini ele geçirdiklerinde, bu hash’leri kullanarak kimlik doğrulama bypass’ı (atlatma) gerçekleştirebilir ya da sistemdeki yetki yükseltmelerini sağlayabilirler. Bu durum, siber tehditler açısından ciddi sonuçlar doğurabilir. Microsoft, bu açığı yalnızca "orta" seviye bir sorun olarak değerlendirse de, pratikte bu açığın sonuçları son derece ağır olabilir. Dolayısıyla, her kuruluşun bu konuyu yüksek riskli bir durum olarak değerlendirmesi gerekmektedir.
Kuruluşlar bu durumu nasıl yönetebilir?
Kuruluşlar, CVE-2025-24054 gibi güvenlik açıklarını yönetmek için bir dizi adım atmalıdır. Öncelikle, Microsoft’un Mart 2025 güncellemelerinin bir an önce kurulması tavsiye edilmektedir. Kuruluşlar, NTLM kimlik doğrulamayı gerektirmediklerinde kapatmalıdır. Güncellemeleri zamanında almak ve uygulamak, siber saldırılara karşı koruma sağlamak adına kritik öneme sahiptir. Ayrıca, çalışanlara bu tür oltalama saldırıları konusunda eğitim vermek, e-posta zafiyetlerini azaltmak açısından önemlidir. Son olarak, siber güvenlik çözümleri ve izleme sistemleri kullanarak, olası tehditleri önceden tespit etme yolları araştırılmalıdır.
CVE-2025-24054 gibi güvenlik açıkları, kuruluşlar üzerinde dışsal tehditlerin artırmasına neden olabilir. Bu nedenle, siber güvenlik politikalarının gözden geçirilmesi ve güçlendirilmesi, korunma stratejilerinin sürekli olarak güncellenmesi gerekmektedir.
