Microsoft, Salı günü yazılım ürünlerinin tamamında toplam 78 güvenlik açığını gideren yamalar yayımladı. Bu açıkların beşi sıfırıncı gün (zero-day) zafiyeti olup, halihazırda wild ortamda aktif şekilde istismar ediliyor.
Microsoft’un giderdiği 78 güvenlik açığından:
- 11’i Kritik,
- 66’sı Önemli,
- 1’i ise Düşük seviyede olarak sınıflandırıldı.
Bu güvenlik açıklarından:
- 28’i uzaktan kod çalıştırmaya (Remote Code Execution),
- 21’i ayrıcalık yükseltmeye (Privilege Escalation),
- 16’sı bilgi sızdırmaya (Information Disclosure) yol açabiliyor.
Bu güncellemeler, geçen ayki Patch Tuesday (Yama Salısı) güncellemesinden bu yana Chromium tabanlı Edge tarayıcısında giderilen 8 ek güvenlik açığını da kapsıyor.
Wild ortamda aktif şekilde istismar edilen beş sıfırıncı gün zafiyeti:
- CVE-2025-30397 (CVSS puanı: 7.5) – Scripting Engine Bellek Bozulması Zafiyeti
- CVE-2025-30400 (CVSS puanı: 7.8) – Microsoft DWM (Desktop Window Manager) Core Library Ayrıcalık Yükseltme Zafiyeti
- CVE-2025-32701 (CVSS puanı: 7.8) – Windows Common Log File System (CLFS) Sürücüsü Ayrıcalık Yükseltme Zafiyeti
- CVE-2025-32706 (CVSS puanı: 7.8) – CLFS Sürücüsü Ayrıcalık Yükseltme Zafiyeti
- CVE-2025-32709 (CVSS puanı: 7.8) – Windows WinSock Yardımcı İşlev Sürücüsü Ayrıcalık Yükseltme Zafiyeti
İlk üç zafiyet Microsoft’un kendi tehdit istihbarat ekibi tarafından raporlanırken, CVE-2025-32706 Google Threat Intelligence Group’tan Benoit Sevens ve CrowdStrike Gelişmiş Araştırma Ekibi tarafından keşfedildi. CVE-2025-32709 ise isimsiz bir araştırmacı tarafından bildirildi.
Alex Vovk (Action1 CEO’su), CVE-2025-30397 için şunları söyledi:“Bu zafiyet, Internet Explorer ve Microsoft Edge’in IE modunda kullanılan Scripting Engine bileşeninde tespit edildi. Kötü niyetli bir web sayfası ya da betik ile bu açık istismar edilebilir. Scripting Engine’in nesne türlerini yanlış yorumlaması sonucu bellek bozulması meydana gelir ve mevcut kullanıcı haklarıyla rastgele kod çalıştırılabilir. Eğer kullanıcı yönetici haklarına sahipse, saldırgan tüm sistem kontrolünü ele geçirebilir; veri hırsızlığı, zararlı yazılım kurulumu ve ağda yatay hareket (lateral movement) gibi faaliyetlerde bulunabilir.”
CVE-2025-30400, 2023’ten bu yana wild ortamda exploit edilen üçüncü DWM Core Library ayrıcalık yükseltme zafiyeti oldu.Microsoft, Mayıs 2024’te CVE-2024-30051 için yama yayımlamıştı. Bu açık, QakBot (Qwaking Mantis) kötü amaçlı yazılımını dağıtan saldırılarda kullanılmıştı.
Tenable’den Satnam Narang, “2022’den bu yana Patch Tuesday kapsamında DWM bileşenine yönelik 26 ayrıcalık yükseltme açığı giderildi. Nisan 2025’te yayımlanan yamalar da dahil olmak üzere sadece iki DWM zafiyeti sıfırıncı gün olarak istismar edildi: CVE-2024-30051 ve CVE-2023-36033,” dedi.
CVE-2025-32701 ve CVE-2025-32706, CLFS bileşeninde tespit edilen 7. ve 8. ayrıcalık yükseltme açıklarıdır ve 2022’den bu yana gerçek saldırılarda kullanılmıştır.Geçtiğimiz ay Microsoft, CVE-2025-29824’ün ABD, Venezuela, İspanya ve Suudi Arabistan’daki şirketleri hedef alan sınırlı saldırılarda istismar edildiğini duyurdu.
Symantec’e göre, CVE-2025-29824, Play fidye yazılımı ailesiyle bağlantılı tehdit aktörleri tarafından ABD’de ismi açıklanmayan bir kuruluşa yönelik saldırılarda sıfırıncı gün olarak kullanıldı.
CVE-2025-32709, WinSock Yardımcı İşlev Sürücüsü’nde keşfedilen üçüncü ayrıcalık yükseltme zafiyetidir. Daha önce CVE-2024-38193 ve CVE-2025-21418 de aynı bileşende istismar edilmişti. Özellikle CVE-2024-38193’ün Lazarus Grubu (Kuzey Kore bağlantılı) tarafından kullanıldığı biliniyor.
CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı), bu beş zafiyeti “Bilinen İstismar Edilen Zafiyetler (KEV)” kataloğuna ekledi ve federal kurumların 3 Haziran 2025 tarihine kadar yamaları uygulamasını zorunlu kıldı.
Öne çıkan diğer güvenlik açıkları:
- CVE-2025-26684 (CVSS: 6.7) – Microsoft Defender for Endpoint for Linux’te ayrıcalık yükseltme açığı.Stratascale araştırmacısı Rich Mirch, zafiyetin bir Python betiğindeki grab_java_version() fonksiyonundan kaynaklandığını söyledi. Söz konusu fonksiyon, JRE versiyonunu öğrenmek için java -version komutunu çalıştırıyor. Ancak bu işlem, saldırganın kötü niyetli bir java işlemi oluşturup root ayrıcalıklarıyla çalıştırmasına olanak tanıyor.
- CVE-2025-26685 (CVSS: 6.5) – Microsoft Defender for Identity ürününde sahtekarlık (spoofing) açığı.Rapid7’den Adam Barnett, bu açığın NTLM hash’i elde edilmesine yol açabileceğini ve Kerberos’tan NTLM’ye geri dönüş üzerinden saldırının gerçekleşebileceğini belirtti.
- CVE-2025-29813 (CVSS: 10.0 – Maksimum seviye) – Azure DevOps Server üzerinde ağ üzerinden yetkisiz ayrıcalık yükseltme açığı.Microsoft, bulut ortamında bu açığın zaten kapatıldığını ve müşterilerin ekstra bir işlem yapmasına gerek olmadığını duyurdu.
Bu tür güvenlik açıklarının hızla istismar edildiği günümüzde, sistem ve yazılım güncellemeleri zamanında uygulanmalıdır. Özellikle sıfırıncı gün (zero-day) açıkları, saldırganlara sistem üzerinde tam kontrol sağlayabileceğinden öncelikli olarak ele alınmalıdır. Kullanıcı ayrıcalıkları minimum düzeyde tutulmalı, yöneticilik yetkileri yalnızca gerekli durumlarda verilmelidir. Güvenlik farkındalığını artırmak adına çalışanlara düzenli siber güvenlik eğitimi verilmesi önemlidir. Ayrıca, ağ trafiği sürekli olarak izlenmeli ve şüpheli etkinlikler için tehdit tespiti sistemleri aktif halde bulundurulmalıdır. Kritik altyapılarda kullanılan bileşenlerin kaynak bütünlüğü kontrol edilmeli ve sahte/zararlı dosya yürütmelerine karşı dosya imzası doğrulama yöntemleri kullanılmalıdır.
