Güvenlik araştırmacıları, saldırganların 2017'den beri bildiği bir sıfır gün açığı (0-day) ile birlikte, Microsoft'un yakın zamanda yamalamakta zorlandığı kritik bir başka Windows güvenlik açığının aktif olarak istismar edildiğini bildirdi. Bu açıklar, geniş çaplı saldırılarda internetteki birçok hedefi tehdit ediyor.
Sıfır gün açığı, Mart ayında güvenlik firması tarafından keşfedildi. Firmanın raporuna göre, bu açık 2017'den bu yana en az 11 farklı gelişmiş kalıcı tehdit (APT) grubu tarafından aktif olarak kullanılıyor. Genellikle devlet destekli olduğu düşünülen bu APT grupları, belirli kişi veya grupları hedef alarak yoğun saldırılar düzenliyor. Bu grupların, ZDI-CAN-25373 olarak bilinen bu güvenlik açığını kullanarak, ABD, Kanada, Rusya ve Kore'nin en yoğun olduğu yaklaşık 60 ülkedeki altyapılara çeşitli bilinen zararlı yazılımlar yerleştirdiği belirtiliyor.
Geniş Çaplı ve Koordineli Bir Operasyon
Açığın üzerinden yedi ay geçmesine rağmen, Microsoft hala bu güvenlik açığını tam olarak kapatamadı. Sorun, Windows'un kısayol (shortcut) ikili formatındaki bir hatadan kaynaklanıyor. Windows'un bu bileşeni, uygulamaları açmayı veya dosyalara erişmeyi kolaylaştırarak, kullanıcıların konumlarına gitmelerine gerek kalmadan tek bir ikili dosya üzerinden bu işlemleri yapmalarına olanak tanıyor. Yakın zamanda ZDI-CAN-25373 takma adı, CVE-2025-9491 olarak güncellendi.
Güvenlik firması Arctic Wolf, Çin ile bağlantılı olduğu düşünülen ve UNC-6384 olarak takip edilen bir tehdit grubunun, CVE-2025-9491 açığını Avrupa'daki çeşitli ülkelere yönelik saldırılarda kullandığını bildirdi. Saldırıların son aşamasında, yaygın olarak kullanılan PlugX adlı uzaktan erişim trojanı (RAT) yerleştiriliyor. Zararlı yazılımın gizlenmesini kolaylaştırmak için, saldırının son aşamasına kadar ikili dosya RC4 formatında şifrelenmiş halde tutuluyor.
Arctic Wolf, "Kısa bir zaman diliminde birden fazla Avrupa ülkesinin hedef alınmasının genişliği, büyük ölçekli koordineli bir istihbarat toplama operasyonunu ya da paylaşılan araçlarla ancak bağımsız hedeflemeye sahip birden fazla paralel operasyonel ekibin konuşlandırılmasını gösteriyor. Farklı hedefler arasındaki tutarlılık, yürütme birden fazla ekibe dağılmış olsa bile merkezi araç geliştirme ve operasyonel güvenlik standartlarını işaret ediyor." açıklamasında bulundu.
Şu an için bir yama bulunmadığından, Windows kullanıcılarının saldırılardan korunmak için sınırlı seçenekleri bulunuyor. En etkili önlem, güvenilmeyen kaynaklardan gelen .lnk dosyalarının kullanımını engelleyerek veya kısıtlayarak bu fonksiyonları kilitlemektir. Bu, Windows Gezgini'nin bu tür dosyaların otomatik çözümlemesini devre dışı bırakacak şekilde ayarlanmasıyla yapılabilir. CVE-2025-9491 için ciddiyet derecesi 10 üzerinden 7 olarak belirlendi.
Diğer Windows güvenlik açığı ise geçtiğimiz hafta yamalandı. Microsoft, planlanmamış bir güncelleme yayınladı. CVE-2025-59287, 9.8 gibi yüksek bir ciddiyet derecesine sahip. Bu açık, yöneticilerin geniş sunucu filolarındaki uygulamaları kurmak, yama yapmak veya silmek için kullandığı Windows Sunucu Güncelleştirme Hizmetleri'nde (WSUS) bulunuyor. Microsoft daha önce, seri hale getirme hatasından kaynaklanan ve potansiyel olarak solucan benzeri uzaktan kod yürütme açığını, Ekim Ayı Yama Salı sürümünde yamalamaya çalışmış, ancak tam başarıya ulaşamamıştı. Hatalı olduğu düşünülen yama sonrasında yayınlanan kamuya açık kanıt kodu (proof-of-concept), denenen düzeltmenin yetersiz olduğunu hızla ortaya koydu.
Microsoft'un ikinci yamayı yayınladığı sıralarda, güvenlik firması Huntress, WSUS açığının 23 Ekim'den itibaren istismar edildiğini gözlemlediğini bildirdi. Güvenlik firması Eye da kısa bir süre sonra aynı bulguyu raporladı.
Güvenlik firması Sophos ise Çarşamba günü yaptığı açıklamada, 24 Ekim'den bu yana "birden fazla müşteri ortamında" CVE-2025-59287'nin istismar edildiğini gördüğünü belirtti.
Sophos, "Birkaç saat süren ve internete açık WSUS sunucularını hedef alan bu aktivite dalgası, çeşitli sektörlerdeki müşterileri etkiledi ve hedeflenmiş saldırılar gibi görünmüyordu. Saldırganların kamuya açık PoC'yi mi kullandığı yoksa kendi exploitlerini mi geliştirdikleri belirsiz." dedi.
Yöneticiler, cihazlarının bu devam eden saldırılardan herhangi birine karşı savunmasız olup olmadığını derhal araştırmalıdır. CVE-2025-9491 için ne zaman bir yama yayınlanacağına dair henüz bir belirti yok.
