CLFS Sıfırıncı Gün Açığı Nedir? CLFS Açığı Ransomware Saldırıları İçin Nasıl Kullanıldı? Microsoft Bu Durumu Nasıl Yönetiyor? Ransomware Saldırılarında Kullanılan Teknolojiler Nelerdir? Ransomware Saldırılarının Kurbanları Kimlerdir?
CLFS Sıfırıncı Gün Açığı Nedir?
Windows Common Log File System (CLFS) üzerine geliştirilmiş olan bu sıfırıncı gün açığı, CVE-2025-29824 koduyla tanımlanmaktadır. Bu açık, sistemdeki ayrıcalıkları yükselterek kötü niyetli kişilerin sistemde yönetici haklarına ulaşmasına olanak tanır. Sıfırıncı gün, bir ürün piyasaya sürüldükten sonra geliştirici şirket tarafından farkedilmeden gerçekleştirilen bir saldırıdır; bu durumda Microsoft tarafından kullanıcılar uyarılmadan önce bu eksiklik kötüye kullanılmıştır.
Bu özel açık, Microsoft’un Nisan 2025 Patch Tuesday güncellemesiyle kapatılmıştır. Ancak ne yazık ki, bu düzeltme uygulanmadan önce, kötü niyetli kişiler, belirli hedeflere (bilgi teknolojileri, emlak gibi sektörlerde) yönelik saldırılar gerçekleştirmişlerdir. Microsoft’un raporlarına göre, bu saldırılar hem Amerika Birleşik Devletleri’nde hem de uluslararası ölçekte çeşitli sektörlerde faaliyet gösteren şirketleri hedef almıştır.
CLFS Açığı Ransomware Saldırıları İçin Nasıl Kullanıldı?
Ransomware saldırıları, kısaca hedef sistem veya verilerin şifrelenerek erişiminin engellenmesi ile sonuçlanan bir siber saldırı türüdür. Bu saldırılarda, kurbanlardan fidye talep edilmektedir. CLFS açığı, saldırganların sistemde yönetici haklarına sahip olmasını sağladığı için, ransomware uygulamalarını etkili bir şekilde dağıtma kabiliyeti kazandırmaktır.
Ransomware saldırılarında, saldırganlar genellikle önce arka kapı yazılımları kurulur, ardından yapılacak olan şifreleme işlemleri için gerekli olan token’lar ele geçirilir. Burada, PipeMagic adında bir zararlı yazılım kullanıldığı, şifreleme işlemi ve kullanılacak kötü niyetli yazılımlar için kurgu oluşturulduğu gözlemlenmiştir. PipeMagic, 2022’den bu yana tespit edilen bir trojan türüdür ve bu tür saldırılarda sıkça kullanılmaktadır.
Microsoft Bu Durumu Nasıl Yönetiyor?
Microsoft, CVE-2025-29824 açığının istismarı sonrası durumu yakından takip etmiş ve bu faaliyetlerin "Storm-2460" adıyla anıldığını belirtmiştir. Şirket, kullanıcılarını bu tür saldırılara karşı korumak üzere derhal güncellemeler yayınlamıştır. Ancak, bazı teknik detaylar doğrultusunda, tam olarak hangi başlangıç erişim vektörünün kullanıldığı hala netleşmemiştir.
Microsoft’un raporları, siber tehdit aktörlerinin "certutil" aracını kullanarak daha önce ele geçirilmiş bir üçüncü taraf websitesinden zararlı yazılım indirdiklerini açıkça ortaya koymaktadır. Bu gibi saldırılar için hatalı yazılımlar daha önce sistemde tarayıcı üzerinden eriştiğinden, tespit edilme riski de düşmektedir.
Ransomware Saldırılarında Kullanılan Teknolojiler Nelerdir?
Ransomware saldırılarının dayanıklı ve başarılı olabilmesi için kullanılan birkaç farklı teknoloji ve teknik vardır. Örneğin, zararlı yazılımlar genellikle MSBuild dosyaları olarak tasarlanır ve bu dosyalar içinde şifrelenmiş veriler bulunur. Şifreli payload’lar, daha sonra sistemin belleğine yüklenip gerçekleştirerek kullanılır.
Bunun yanı sıra, saldırılar genellikle LSASS süreçlerinin belleğinin boşaltılması ile kullanıcı kimlik bilgilerini elde etme gibi teknikler içermektedir. Başarılı bir ransomware saldırısı sonrası, genellikle dosyalar rastgele uzantılarla şifrelenir ve kurbanlardan fidye talep edilir. Microsoft’un raporuna göre, ransom notlarının bir kısmı TOR domainleri içermekte ve bu domainler, RansomEXX ransomware ailesine atfedilmektedir.
Ransomware Saldırılarının Kurbanları Kimlerdir?
Ransomware saldırılarında hedeflenen organizasyonlar genellikle yüksek değerli verilere sahip veya yüksek profilli sektörlerden seçilmektedir. Microsoft’un raporuna göre, saldırılar genellikle bilgi teknolojileri ve emlak sektöründeki belli başlı kuruluşlara yönelik olmuştur. Bunun yanı sıra, Venezuela’daki finansal sektör, İspanyol bir yazılım şirketi ve Suudi Arabistan’daki perakende sektörü de bu saldırıların hedefleri arasında yer almıştır.
Siber tehdit aktörlerinin kurbanları genellikle hedeflenmiş kampanyalarla seçilmiştir ve bu durum, siber güvenlik açısından son derece risklidir. Hedef alınan bu kuruluşlar, genellikle yüksek talepte bulunan ve etki alanı geniş olan şirketlerdir; dolayısıyla, bu saldırılar sadece kurban şirketler için değil, aynı zamanda pazarda genel güvenlik algısı için de ciddi tehditler oluşturmaktadır.
Sonuç olarak, CLFS açığı ve bu açığı kullanan ransomware saldırıları, siber güvenlik alanında dikkate alınması gereken önemli bir konudur. Microsoft gibi büyük teknoloji firmaları, bu tür tehditlere karşı sürekli olarak güncellemeler ve savunma mekanizmaları geliştirmekte olsa da, kullanıcıların bilinçli ve dikkatli olması, bu tür saldırıların önlenmesinde büyük bir önem taşımaktadır.
