Windows Kritik Güvenlik Açığı
CVE-2025-21391 – Windows Depolama Ayrıcalık Yükseltme Güvenlik Açığı
Temel Puan: 7.1 YÜKSEK | Yayın Tarihi: 02/12/2025
Genel bakış
CVE-2025-21391, Windows Depolama bileşeninde yüksek öneme sahip bir ayrıcalık yükseltme (EoP) güvenlik açığıdır. İstismar, yerel bir saldırganın ayrıcalıkları düşük bütünlükteki bir kullanıcı hesabından SİSTEM düzeyinde erişime yükseltmesine ve potansiyel olarak tüm sistemi tehlikeye atmasına olanak tanır.
Teknik Detaylar
Kusur, kullanıcı tarafından sağlanan arabelleklerin yetersiz doğrulanması nedeniyle IOCTL (Giriş/Çıkış Denetimi) isteklerini yanlış işleyen Windows Depolama sürücüsünde (storport.sys) bulunmaktadır. Saldırganlar, arabellek taşmasını tetiklemek, çekirdek belleğini bozmak ve yükseltilmiş ayrıcalıklara sahip keyfi kod yürütmek için kötü amaçlı IOCTL komutları üretebilir.
Darbe
Başarılı istismar, saldırganların kötü amaçlı yazılım yüklemesine, verileri sızdırmasına veya güvenlik araçlarını devre dışı bırakmasına olanak tanıyan tam sistem kontrolü sağlar. Güvenlik açığı yerel olarak istismar edilebilir ve bir saldırganın hedef makinede kod yürütmesini gerektirir.
Azaltma
Microsoft bu güvenlik açığını Şubat 2025 Salı Yaması güncellemesinde ele aldı. Kullanıcılar KB500XXXX'i hemen uygulamalıdır. Geçici çözümler arasında kullanıcı izinlerini kısıtlamak ve Grup İlkesi aracılığıyla gereksiz depolama ile ilgili hizmetleri devre dışı bırakmak yer alır.
Örnek Senaryo
Bir penetrasyon testçisi, kurumsal bir ağda savunmasız bir iş istasyonu keşfeder. Düşük ayrıcalıklı bir hesap kullanarak, storport.sys'ye kötü biçimlendirilmiş bir IOCTL isteği gönderen özel bir istismar aracı çalıştırırlar. Sürücü, arabellek boyutunu doğrulamayı başaramaz ve bu da çekirdek modu arabellek taşmasına yol açar. İstismar, bir işlev işaretçisini geçersiz kılar ve yürütmeyi bir SYSTEM kabuğu oluşturan bir yüke yönlendirir. Testçi artık makineye sınırsız erişime sahiptir.
CVE-2025-21418 – WinSock Ayrıcalık Yükseltme Güvenlik Açığı için Windows Yardımcı İşlev Sürücüsü
Temel Puan: 7.8 YÜKSEK | Yayınlanma Tarihi: 02/12/2025
Genel bakış
CVE-2025-21418, WinSock'un çekirdek modu bileşeni olan Windows Yardımcı İşlev Sürücüsü'nde (AFD) kritik bir EoP güvenlik açığıdır. Saldırı, saldırganların AFD'de uygunsuz bellek işlemeyi istismar ederek SİSTEM ayrıcalıkları elde etmelerine olanak tanır.
Teknik Detaylar
Bu güvenlik açığı, AFD'nin soket bağlantılarını ele alışındaki bir kullanım sonrası serbest bırakma kusurundan kaynaklanmaktadır. Bir soket kapatıldığında, AFD ilişkili belleği düzgün bir şekilde serbest bırakmaz. Saldırganlar, güvenlik kontrollerini atlatarak çekirdek alanı belleğine kötü amaçlı kod enjekte etmek için bu yarış koşulunu manipüle edebilir.
Darbe
Bu kusur, tam sistem güvenliğinin tehlikeye atılmasına olanak tanır. Saldırganlar, sanal alanları atlatabilir, ağ trafiğini ele geçirebilir veya yeniden başlatmalar boyunca devam edebilir. Daha yüksek CVSS puanı, CVE-2025-21391'e kıyasla daha geniş bir sistem kesintisi potansiyelini yansıtır.
Azaltma
Microsoft'un Şubat 2025 güncellemesinde (KB500XXXX) yamalanmıştır. Kuruluşlar ayrıca yetkisiz ikili dosyaların WinSock ile etkileşime girmesini engellemek için katı uygulama kontrol politikaları uygulamalıdır.
Örnek Senaryo
Bir saldırgan, kimlik avı yoluyla bir kullanıcının hesabını tehlikeye atar. Bir ağ teşhis aracı gibi görünen kötü amaçlı bir betik indirirler. Betik, soketleri hızla açar ve kapatır ve AFD'de kullanım sonrası serbest bırakma koşulunu tetikler. Saldırgan, serbest bırakılan belleği kabuk koduyla yeniden tahsis ederek çekirdek yürütmesi kazanır ve bir kök seti dağıtır, uç nokta koruması tarafından tespit edilmekten kaçınır.
Çözüm
Her iki güvenlik açığı da EoP saldırıları için ortak bir hedef olan Windows çekirdek sürücülerindeki riskleri vurgular. Varsayımsal olsa da, bu senaryolar tarihsel kalıplarla uyumludur (örneğin, SMB için CVE-2020-0796, AFD için CVE-2021-24086). Proaktif yama ve en az ayrıcalıklı uygulama, bu tür istismarlara karşı kritik savunmalar olmaya devam etmektedir.