Microsoft Güvenlik Açıkları ve Güncellemeler
Son zamanlarda Microsoft, güvenlik alanında önemli güncellemeler ve yamalar yayınladı. Toplamda 67 güvenlik açığı düzeltilmiş durumda, bu açıkların arasında bir de kritik öneme sahip olan sıfırıncı gün açığı bulunuyor. Bu açığın, Web Distributed Authoring and Versioning (WEBDAV) ile ilgili olduğu ve aktif olarak istismar edildiği bildiriliyor.
Kritik Güvenlik Açıkları
Düzeltilen bu güvenlik açıklıkları arasında 11 tanesi kritik, geriye kalan 56 tanesi ise önemli olarak derecelendirilmiştir. Bu açıklar arasında, uzaktan kod çalıştırma (RCE) açıkları, bilgi sızdırma açıkları ve ayrıcalık yükseltme açıkları yer alıyor. Tam olarak 26 uzaktan kod çalıştırma açığı, 17 bilgi sızdırma açığı ve 14 ayrıcalık yükseltme açığı bulunmaktadır.
Özellikle dikkat çeken, CVE-2025-33053 koduyla bilinen WEBDAV açığı, kullanıcılara hazırlanan özel bir URL’ye tıklamaları için kandırıldıklarında uzaktan kod çalıştırılmasına olanak tanıyor. Bu açığın, Check Point araştırmacıları Alexandra Gofman ve David Driker tarafından keşfedildiği belirtiliyor. WEBDAV standartlarında bildirilen ilk sıfırıncı gün açığı olma özelliği taşıyan bu açık, hem bireysel hem de kurumsal kullanıcılar için büyük risk teşkil ediyor.
Tehdit Aktörleri ve Saldırı Detayları
Söz konusu açığın istismarında, Stealth Falcon (diğer adıyla FruityArmor) adında bir tehdit aktörünün adı geçiyor. Bu grup, geçmişte de Windows sıfırıncı gün açıklarını kullanarak saldırılar düzenlemiş. Geçtiğimiz Eylül ayında Katar ve Suudi Arabistan‘daki kuruluşları hedef alan bir casusluk kampanyasında kullanılan bir arka kapı olarak adlandırılan Deadglyph tespit edilmiştir.
Bu saldırının detayları incelendiğinde, saldırganların CVE-2025-33053 açığını kullanarak Horus Agent adında özel bir implantı teslim etmek amacıyla bu açığı kullandığı anlaşılıyor. Saldırganlar, saldırıyı başlatmak için phishing e-postası yoluyla bir URL kısayolu dosyası göndermiş. Bu dosya, iediagcmd.exe adlı meşru bir tanılama aracını kullanarak bir başka yük olan Horus Loader‘ı çalıştırıyor.
Horus Agent ve Gelişmiş Teknikler
Horus Agent, özelleştirilmiş Apollo implantının daha gelişmiş bir versiyonu olarak değerlendiriliyor. Görünüşe göre, bu implant hem daha hızlı hem de daha karmaşık bir yapıya sahip. C++ dilinde yazılmış olan bu implant, bilinen C tabanlı Mythic ajanları ile benzerlikler taşımakla birlikte kendine has özelliklere sahip.
Saldırganlar, kurban bilgisayarından sistem bilgilerini toplamak, dosyaları indirmek ve çalışan işlemlere shellcode enjekte etmek gibi görevleri yerine getirmek için uzaktan sunucu ile bağlantı kuruyor. Ek olarak, implant boyutunu daha küçük tutarak, keşif süreçlerini zorlaştırma amacı güdüyor.
Yeni Tehdit Araçları
Güvenlik araştırmacıları, Stealth Falcon grubunun çeşitli yeni belgelenmemiş araçları da kullandığını tespit etmiştir. Bunlar arasında Credential Dumper, Passive Backdoor ve Keylogger gibi araçlar yer alıyor. Özellikle Keylogger, saldırganların tüm tuş vuruşlarını kaydetmesine olanak tanıyor ve bu verileri bir dosyaya yazıyor.
Bu araçlar, çoğu zaman saldırganın eylemlerini gizlice gerçekleştirmesine olanak sağlıyor. Araçların zorluğu, hem ticari kod obfuscation teknikleri hem de özel modifikasyonlarla daha da artırılmış durumda.
Uygulanması Gereken Önlemler
CVE-2025-33053 güvenlik açığının aktif olarak istismar edilmesi, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından bu açığın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna dahil edilmesine yol açtı. Bu durum, federal devlet kuruluşlarının gerekli yamaları uygulamak zorunluluğunu doğurdu.
Microsoft tarafından belirlenen en kritik açığın, Power Automate ile ilgili açının olduğu ve bu açığın bir saldırganın ağ üzerinde ayrıcalıklarını yükseltmesine olanak tanıyabileceği ifade ediliyor. Ancak bu açık için kullanıcıların herhangi bir önlem almasına gerek yok.
Son Gelişmeler ve Gelecek Stratejileri
Microsoft’un yayınladığı yamalar, özellikle işletim sistemlerini koruma açısından son derece önemlidir. Horus Agent ve benzeri gelişmiş araçlar, kullanıcıların ve kurumların güvenlik seviyelerini tehdit etme potansiyeline sahiptir. Bu nedenle, tüm kullanıcıların ve IT yöneticilerinin en son güncellemeleri takip etmesi ve sistemlerini her zaman güncel tutması son derece önemlidir.
WebDAV gibi teknolojilerin yaygın kullanımı, potansiyel riskleri büyütmektedir. Dolayısıyla, kurumsal ortamda kullanılan her türlü uygulama ve teknolojinin güvenlik riskleri göz önünde bulundurularak işlenmesi gerekmektedir.
