Microsoft, Mayıs 2025 Patch Salı güncellemesi kapsamında toplam 120 CVE'yi (Common Vulnerabilities and Exposures) giderdi. Bunlardan 17'si kritik olarak sınıflandırılırken, 14'ü uzaktan kod yürütme (RCE), ikisi ayrıcalık yükseltme (EoP) ve biri bilgi ifşası zafiyeti olarak kayıtlara geçti. Özellikle, güncellenen açıkların büyük kısmını 61 adetle EoP, 31 adetle RCE ve 14 adetle bilgi ifşası oluşturuyor.
Rapid7'den kıdemli yazılım mühendisi Adam Barnett, domain controller güvenliğinden sorumlu herkesin CVE-2026-41089 kodlu açığı öncelikli olarak kapatması gerektiğini vurguladı. Bu kritik zafiyet, Windows Netlogon'da yığın tabanlı bir arabellek taşması (stack-based buffer overflow) olup CVSS v3 taban puanı 9.8'dir. Barnett, saldırganın bu açık sayesinde domain controller üzerinde sistem ayrıcalıkları elde edebileceği uyarısında bulundu.
Barnett, 'Çoğu pentester için bu, müşteri raporunun neredeyse kendiliğinden yazıldığı noktadır. Herhangi bir ayrıcalık veya kullanıcı etkileşimi gerekmez, saldırı karmaşıklığı düşüktür. Bu da, belirli mekanizmayı bilen biri için güvenilir bir istismar oluşturmanın çok zor olmayabileceğini gösteriyor' dedi.
Sistem yöneticilerinin öncelik vermesi gereken bir diğer açık ise CVE-2026-41096. Bu kritik RCE zafiyeti, Windows DNS istemci uygulamasında bulunuyor ve CVSS puanı 9.8. Action1 güvenlik araştırmaları direktörü Jack Bicer, 'DNS kurumsal ortamlarda kullanılan temel bir ağ hizmeti olduğu için istismar edilmesi çok sayıda sistemi hızla etkileyebilir. Başarılı saldırılar, yaygın uç nokta güvenliği ihlali, fidye yazılımı dağıtımı, kimlik bilgisi hırsızlığı ve kurumsal ağlarda operasyonel kesintilere yol açabilir' uyarısında bulundu.
Bicer ayrıca CVE-2026-42898 kodlu açığa dikkat çekti. Bu kritik RCE zafiyeti, Microsoft Dynamics 365 On-Premises'te bulunuyor. Düşük ayrıcalıklı kimliği doğrulanmış bir saldırgan, Dynamics CRM içindeki işlem oturumu verilerini manipüle ederek ağ üzerinden kötü niyetli kod çalıştırabiliyor. Bicer, 'Kullanıcı etkileşimi gerekmemesi ve güvenlik kapsamı dışındaki sistemleri etkileyebilme potansiyeli, bu zafiyeti ciddi bir kurumsal risk haline getiriyor. Yalnızca temel erişime sahip bir saldırgan, iş uygulaması sunucusunu uzaktan kod yürütme platformuna dönüştürebilir' dedi.
Rapid7'nin Barnett'i, Microsoft'un Windows Saldırı Araştırma ve Koruma (WARP) ekibinin birden fazla kritik zafiyeti tespit ettiğini belirtti. 'WARP ekibinin, Microsoft ürünlerine yönelik yapay zeka destekli güvenlik araştırmalarının mevcut durumu hakkında oldukça bilgili olduğunu tahmin edebiliriz' yorumunda bulundu.
Microsoft, 12 Mayıs'ta yayımladığı blog yazısında WARP ekibinin, şirketin Otonom Kod Güvenliği (ACS) birimiyle işbirliği yaparak yeni bir ajan yapay zeka (AI) girişimi başlattığını ve bu girişimin bu ayki Patch Salı güncellemesinde listelenen 16 CVE'yi keşfettiğini açıkladı. Microsoft'un ajan güvenliği başkan yardımcısı Taesoo Kim, MDASH kod adlı yeni 'ajan güvenlik koşum sistemi'nin, farklı modellerde 100'den fazla özel ajan kullanarak yeni güvenlik açıklarını bulduğunu belirtti.
Gelecekte Ne Bekleniyor?
Kim, 'Çok modelli ajan tarama koşum sistemi, yapılandırılabilir bir model paneli çalıştırıyor. Buna, ağır muhakeme yapabilen son teknoloji modeller, yüksek hacimli geçişler için maliyet etkin bir tartışmacı olarak damıtılmış modeller ve bağımsız bir karşıt görüş olarak ikinci bir ayrı son teknoloji model dahil. Modeller arasındaki anlaşmazlık başlı başına bir sinyaldir: bir denetçi bir şeyi şüpheli olarak işaretlediğinde ve tartışmacı bunu çürütemediğinde, bu bulgunun sonraki güvenilirliği artar' dedi.
Kaynak: infosecurity-magazine.com