Microsoft, Mayıs 2025 Patch Tuesday güncellemesiyle toplam 120 CVE'yi düzeltti. Bu açıklıkların 17'si kritik olarak sınıflandırılırken, 14'ü uzaktan kod yürütme (RCE), 2'si ayrıcalık yükseltme (EoP) ve 1'i bilgi ifşası olarak kaydedildi. Düzeltilen açıklıkların büyük çoğunluğu (61 adet) EoP, 31'i RCE ve 14'ü bilgi ifşası kategorisinde yer alıyor.
Rapid7 güvenlik araştırmacısı Adam Barnett, özellikle CVE-2026-41089'un kritik önemine dikkat çekerek, 'Alan denetleyicisini korumakla sorumlu herkesin bu açıklığı öncelikli olarak düzeltmesi gerekiyor' uyarısında bulundu. Bu açıklık, Windows Netlogon'da bulunan kritik bir yığın tabanlı arabellek taşması olup CVSS puanı 9.8'dir. Saldırgana domain denetleyicisinde sistem ayrıcalıkları kazandırabilen bu açıklık, herhangi bir ayrıcalık veya kullanıcı etkileşimi gerektirmediği gibi saldırı karmaşıklığı da düşüktür. Barnett, 'Güvenilir bir istismar oluşturmanın, belirli mekanizmayı bilen biri için özellikle zor olmayacağını' belirtti.
Sistem yöneticilerinin dikkat etmesi gereken bir diğer kritik açıklık ise CVE-2026-41096. Windows DNS istemcisinde bulunan bu RCE açıklığı da 9.8 CVSS puanına sahip. Action1 güvenlik araştırmacısı Jack Bicer, 'DNS, kurumsal ortamlarda yaygın olarak kullanılan temel bir ağ hizmeti olduğu için, istismar çok sayıda sistemi hızla etkileyebilir' uyarısında bulundu. Başarılı saldırıların yaygın uç nokta ele geçirmelerine, fidye yazılımı dağıtımına, kimlik bilgisi hırsızlığına ve operasyonel kesintilere yol açabileceğini ekledi.
Bicer ayrıca Microsoft Dynamics 365 On-Premises ürününde bulunan kritik RCE açıklığı CVE-2026-42898'e de dikkat çekti. Bu açıklık, düşük ayrıcalıklı kimliği doğrulanmış bir saldırganın Dynamics CRM içindeki işlem oturum verilerini manipüle ederek ağ üzerinden kötü amaçlı kod yürütmesine olanak tanıyor. 'Kullanıcı etkileşimi gerektirmemesi ve güvenlik kapsamını aşabilmesi nedeniyle bu açıklık ciddi bir kurumsal risk oluşturuyor' diyen Bicer, temel erişime sahip bir saldırganın iş uygulama sunucusunu uzaktan kod yürütme platformuna dönüştürebileceğini vurguladı.
Detaylar ve Etkileri
Rapid7'den Barnett, Microsoft'un Windows Atak Araştırma ve Koruma (WARP) ekibinin birden fazla kritik açıklığı tespitte pay sahibi olduğunu belirterek, 'WARP ekibinin, Microsoft ürünlerine yönelik yapay zeka destekli güvenlik araştırmalarının mevcut durumu hakkında oldukça fazla bilgiye sahip olduğunu tahmin edebiliriz' dedi. Microsoft, 12 Mayıs'ta yayımladığı blog yazısında WARP'ın Otonom Kod Güvenliği (ACS) ile iş birliği yaparak yeni bir yapay zeka girişimi başlattığını ve bu sistemin bu ayki Patch Tuesday'de listelenen 16 CVE'yi keşfettiğini açıkladı.
Microsoft Yapay Zeka Güvenlik Başkan Yardımcısı Taesoo Kim, MDASH kod adlı yeni 'yapay zeka güvenlik koşum sistemi'nin 100'den fazla uzman ajan kullanarak yeni güvenlik açıklarını bulduğunu anlattı. 'Çok modelli yapay zeka tarama koşum sistemi, yapılandırılabilir bir model paneli çalıştırıyor. Bu panelde ağır muhakeme için en gelişmiş modeller, yüksek hacimli geçişler için maliyet etkin damıtılmış modeller ve bağımsız bir karşı nokta olarak ikinci bir ayrı gelişmiş model yer alıyor' diyen Kim, modeller arasındaki anlaşmazlığın kendisinin bir sinyal olduğunu belirtti: 'Bir denetçi bir şeyi şüpheli olarak işaretlediğinde ve tartışmacı bunu çürütemediğinde, bu bulgunun sonraki güvenilirliği artar.'
Kaynak: infosecurity-magazine.com