Microsoft, Windows Server Update Services (WSUS) platformunda yer alan kritik bir güvenlik açığını kapatmak için 23 ekim 2025 tarihinde acil güncellemeler yayımladı. CVE-2025-59287 olarak tanımlanan bu açık, uzaktan kod yürütme riski nedeniyle yüksek önem derecesine sahip. Güncellemelere rağmen WSUS sistemlerini hedef alan saldırıların sayısı artış gösteriyor.
WSUS İçin Yayınlanan Güncelleme Güvenliği Güçlendirdi
Microsoft’un 23 ekim 2025 tarihinde yayımladığı acil güncelleme, WSUS hizmetinde tespit edilen CVE-2025-59287 kodlu güvenlik açığını kapatmayı amaçladı. Şirket, Windows Server 2012’den Windows Server 2025’e kadar tüm sürümlerde güvenlik yamalarının 14 ekim 2025 itibarıyla tamamlandığını belirtti. CVSS puanı 9.8 olarak değerlendirilen bu açık, saldırganlara uzaktan erişim ve sistem kontrolü sağlayabilme tehlikesi taşıyordu.
Güncelleme, WSUS üzerinde yetkisiz kod çalıştırma riskini azaltmak için hazırlandı. Microsoft, güvenlik sayfasında yayınladığı SSS bölümünde, açığın kötüye kullanılmasının engellenmesi için sistem yöneticilerinin güncellemeleri ivedilikle yüklemesi gerektiğini vurguladı.
Almanya Federal Bilgi Güvenliği Dairesi (BSI), söz konusu güvenlik açığına ilişkin sarı alarm düzeyinde bir uyarı yayımladı. Kurum, WSUS kullanan tüm sistem yöneticilerinin güncellemeleri derhal uygulaması gerektiğini bildirdi. Palo Alto Networks’e bağlı Unit 42 birimi de benzer şekilde uyarıda bulundu.
Unit 42’nin raporuna göre saldırılar artık aktif olarak gerçekleşiyor. Trend Micro tarafından paylaşılan veriler, son yedi gün içinde yaklaşık 100.000 erişim girişiminin tespit edildiğini ortaya koydu. Trend Micro’nun Sıfır Gün Girişimi programı yöneticisi Dustin Childs, internet üzerinden erişilebilir yaklaşık 500.000 WSUS sunucusunun bulunduğunu belirterek riskin küresel boyutta olduğunu ifade etti.
Trend Micro verileri, saldırıların belirli bir sektör veya bölgeye yönelik olmadığını, rastgele şekilde yürütüldüğünü gösteriyor. Uzmanlar, güvenlik yamalarının uygulanmaması hâlinde saldırıların hızla yayılabileceğini değerlendiriyor.
Siber güvenlik topluluğunun önemli kuruluşlarından Shadow Server Foundation da PoC (Proof of Concept) tabanlı saldırı girişimlerinin başladığını doğruladı. Yapılan analizlerde 25 Ekim 2025 itibarıyla internet üzerinden erişilebilen 2800 WSUS örneği tespit edildi. Almanya özelinde ise 72 WSUS sunucusunun açık bağlantı noktaları üzerinden erişilebilir durumda olduğu belirlendi.
Uzmanlar, WSUS hizmeti kullanan kurumların yalnızca güncellemeleri yüklemekle kalmayıp güvenlik duvarı yapılandırmalarını da gözden geçirmesi gerektiğini belirtiyor. WSUS bağlantı noktalarının (8530 ve 8531) yalnızca iç ağ erişimine açık olması öneriliyor. CVE-2025-59287 açığı üzerinden yapılan saldırıların, özellikle yamalanmamış sistemleri hedef aldığı ifade ediliyor. Microsoft ve güvenlik kuruluşları, sistem yöneticilerine acil önlem alınması yönünde çağrıda bulunuyor.
