Microsoft, 2025’e toplamda yeni bir yama seti ile başladı. 161 güvenlik açığı Saldırılarda aktif olarak istismar edilen üç sıfır gün de dahil olmak üzere yazılım portföyü genelinde.
161 kusurdan 11’i Kritik, 149’u ise Önemli olarak derecelendirildi. Diğer bir kusur, Windows Güvenli Önyükleme atlamasıyla ilgili Microsoft’a ait olmayan bir CVE (CVE-2024-7344CVSS puanı: 6.7), herhangi bir ciddiyet belirtilmemiştir. göre Sıfır Gün GirişimiGüncelleme, en az 2017’den bu yana tek bir ayda ele alınan en fazla CVE sayısını işaret ediyor.
Düzeltmeler ek olarak yedi güvenlik açığı Windows üreticisi, Aralık 2024 Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında bu soruna çözüm buldu.
Microsoft tarafından yayımlanan yamalar arasında öne çıkan, Windows Hyper-V NT Çekirdek Entegrasyonu VSP’deki üç kusurdur (CVE-2025-21333, CVE-2025-21334Ve CVE-2025-21335CVSS puanları: 7,8) şirketin vahşi doğada aktif olarak sömürüldüğünü söyledi.
Şirket, üç güvenlik açığına ilişkin bir danışma belgesinde “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, SİSTEM ayrıcalıkları kazanabilir” dedi.
Her zamanki gibi bu eksikliklerin nasıl ve hangi bağlamda istismar edildiği henüz bilinmiyor. Microsoft ayrıca kendilerini silahlandıran tehdit aktörlerinin kimliğinden veya saldırıların ölçeğinden de bahsetmiyor.
Ancak Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, bunların ayrıcalık yükseltme hataları olduğu göz önüne alındığında, büyük ihtimalle saldırganın hedef sisteme başka yollarla erişim sağladığı uzlaşma sonrası faaliyetin bir parçası olarak kullanıldıklarına dikkat çekti. .
“Sanallaştırma Hizmet Sağlayıcısı (VSP), bir Hyper-V örneğinin kök bölümünde bulunur ve Sanal Makine Veri Yolu (VMBus) üzerinden alt bölümlere sentetik cihaz desteği sağlar: bu, Hyper-V’nin alt bölümün Rapid7’nin baş yazılım mühendisi Adam Barnett, The Hacker News’e verdiği demeçte, kendini bunun gerçek bir bilgisayar olduğunu düşünerek kandırdığını söyledi.
“Her şeyin bir güvenlik sınırı olduğu göz önüne alındığında, bugüne kadar Microsoft tarafından hiçbir Hyper-V NT Çekirdek Entegrasyonu VSP güvenlik açığının kabul edilmemiş olması şaşırtıcı olabilir, ancak şimdi daha fazlasının ortaya çıkması hiç de şaşırtıcı olmayacaktır.”
Windows Hyper-V NT Çekirdek Entegrasyonu VSP’nin kötüye kullanılması, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) kurulmasına da yol açtı. ekleme onları Bilinen İstismar Edilen Güvenlik Açıklarına (KEV) kataloğu, federal kurumların düzeltmeleri 4 Şubat 2025’e kadar uygulamasını gerektiriyor.
Ayrı bir gelişmede Redmond, hatalardan beşinin kamuya açık olduğu konusunda uyardı:
Bir NTLM karmasının uygunsuz bir şekilde ifşa edilmesine yol açabilecek CVE-2025-21308’in daha önce 0patch tarafından CVE-2024-38030 için bir bypass olarak işaretlendiğini belirtmekte fayda var. Güvenlik açığına yönelik mikro yamalar Ekim 2024’te yayınlandı.
Öte yandan, üç Microsoft Access sorununun tümü yamasız.aiYapay zeka destekli bir güvenlik açığı keşif platformu. Eylem1 ayrıca not edildi Kusurlar, uzaktan kod yürütme (RCE) güvenlik açıkları olarak sınıflandırılsa da, bu güvenlik açığından yararlanmak için bir saldırganın kullanıcıyı özel hazırlanmış bir dosyayı açmaya ikna etmesi gerekir.
Güncelleme aynı zamanda beş Kritik önem derecesindeki kusuru kapatmasıyla da dikkat çekiyor:
- CVE-2025-21294 (CVSS puanı: 8,1) – Microsoft Digest Kimlik Doğrulamasında Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-21295 (CVSS puanı: 8,1) – SPNEGO Extended Negotiation (NEGOEX) Güvenlik Mekanizması Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-21298 (CVSS puanı: 9,8) – Windows Nesne Bağlama ve Katıştırma (OLE) Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-21307 (CVSS puanı: 9,8) – Windows Güvenilir Çok Noktaya Yayın Aktarım Sürücüsü (RMCAST) Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-21311 (CVSS puanı: 9,8) – Windows NTLM V1’de Ayrıcalık Yükselmesi Güvenlik Açığı
Microsoft, CVE-2025-21298 bülteninde “Bir e-posta saldırısı senaryosunda, bir saldırgan kurbana özel hazırlanmış e-posta göndererek bu güvenlik açığından yararlanabilir.” dedi.
“Güvenlik açığından yararlanılması, kurbanın Microsoft Outlook yazılımının etkilenen bir sürümünü içeren özel hazırlanmış bir e-postayı açmasını veya kurbanın Outlook uygulamasının özel hazırlanmış bir e-postanın önizlemesini görüntülemesini içerebilir. Bu, saldırganın kurbanın bilgisayarında uzaktan kod çalıştırmasına neden olabilir. makine.”
Bu kusura karşı korunmak için kullanıcıların e-posta mesajlarını düz metin biçiminde okuması önerilir. Ayrıca kullanıcıların RTF Dosyalarını bilinmeyen veya güvenilmeyen kaynaklardan açma riskini azaltmak için Microsoft Outlook kullanılmasını da tavsiye ediyor.
Qualys Tehdit Araştırma Birimi güvenlik açığı araştırması yöneticisi Saeed Abbasi, “SPNEGO Genişletilmiş Müzakere (NEGOEX) güvenlik mekanizmasındaki CVE-2025-21295 güvenlik açığı, kimliği doğrulanmamış saldırganların etkilenen sistemlerde kullanıcı etkileşimi olmadan uzaktan kötü amaçlı kod çalıştırmasına olanak tanıyor.” dedi.
“Saldırı karmaşıklığının (AC:H) yüksek olmasına rağmen, başarılı bir şekilde istismar edilmesi, temel güvenlik mekanizması katmanını zayıflatarak kurumsal altyapıyı tamamen tehlikeye atabilir ve potansiyel veri ihlallerine yol açabilir. Geçerli bir kimlik bilgisi gerekmediğinden, yaygın etki riski önemlidir; acil yamalara ve dikkatli hafifletmeye ihtiyaç var.”
CVE-2025-21294 ile ilgili olarak Microsoft, kötü bir aktörün, özet kimlik doğrulaması gerektiren bir sisteme bağlanarak, bir serbest kullanımdan sonra kullanım senaryosu oluşturmak için bir yarış koşulunu tetikleyerek ve ardından isteğe bağlı kod yürütmek için bundan yararlanarak bu güvenlik açığından başarıyla yararlanabileceğini söyledi. .
Immersive Labs siber güvenlik mühendisi Ben Hopkins, “Microsoft Digest, bir sunucu bir istemciden ilk sorgulama yanıtını aldığında ilk kimlik doğrulamayı gerçekleştirmekten sorumlu uygulamadır” dedi. “Sunucu, istemcinin kimliğinin henüz doğrulanmadığını kontrol ederek çalışıyor. CVE-2025-21294, saldırganların uzaktan kod yürütme (RCE) elde etmesi için bu sürecin istismar edilmesini içeriyor.”
Suistimal edilme olasılığı daha yüksek olarak etiketlenen güvenlik açıkları arasında Windows BitLocker’ı etkileyen bir bilgi ifşa kusuru da yer alıyor (CVE-2025-21210CVSS puanı: 4.2), bir saldırganın kurban makinenin sabit diskine fiziksel erişim sağlayabildiği varsayılarak hazırda bekletme görüntülerinin düz metin olarak kurtarılmasına izin verebilir.
Immersive Labs tehdit araştırması kıdemli direktörü Kev Breen, “Hazırda bekletme görüntüleri, bir dizüstü bilgisayar uyku moduna geçtiğinde kullanılır ve cihazın gücü kapatıldığı anda RAM’de depolanan içeriği içerir.” dedi.
“RAM, açık belgelerde veya tarayıcı oturumlarında bulunabilecek hassas verileri (şifreler, kimlik bilgileri ve PII gibi) içerebileceğinden ve tümü hazırda bekletme dosyalarından ücretsiz araçlarla kurtarılabileceğinden, bu önemli bir potansiyel etki sunuyor.”
Diğer Satıcıların Yazılım Yamaları
Microsoft’un yanı sıra, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı:
