Microsoft, Windows Server Update Service (WSUS) yazılımında tespit edilen kritik bir güvenlik açığını gidermek için olağan takvimin dışında acil güvenlik güncellemeleri yayınladı. CVE-2025-59287 koduyla takip edilen bu açık, uzaktan kod yürütme (RCE) yetkisi sağlayarak saldırganların sistem üzerinde tam kontrol elde etmesine yol açabiliyor.
Güvenlik Açığı Yalnızca WSUS Sunucu Rolü Etkin Sistemleri Etkiledi
Microsoft tarafından yapılan açıklamaya göre açık, yalnızca WSUS Sunucu Rolü aktif olan Windows Server sistemlerinde bulunuyor. Bu özellik varsayılan olarak kapalı durumda geliyor. Etkin hâle getirilen sunucularda güncelleme yapılmadan WSUS rolü açıldığında sistem saldırıya açık hâle geliyor. Şirket, saldırıların düşük karmaşıklıkla uzaktan gerçekleştirilebildiğini ve herhangi bir kullanıcı etkileşimine ihtiyaç duyulmadığını belirtti.
Microsoft’un raporuna göre saldırganlar özel olarak hazırlanmış bir olay göndererek güvenli olmayan nesne serileştirme sürecini tetikleyebiliyor. Bu durum uzaktan kod çalıştırma yetkisi verilmesine yol açıyor. Açığın doğrudan SYSTEM ayrıcalıklarıyla işlem yapılmasına imkân tanıması, WSUS sunucuları arasında zararlı kodun yayılabilmesine neden olabiliyor.
Şirket, etkilenen tüm Windows Server sürümleri için güvenlik yamalarını kullanıma sundu. Güncellemelerin en kısa sürede yüklenmesi önerildi. Yayınlanan güncellemeler şu şekilde sıralandı:
- Windows Server 2025 (KB5070881)
- Windows Server, sürüm 23H2 (KB5070879)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB5070886)
- Windows Server 2012 (KB5070887)
Microsoft ayrıca bir kavram kanıtı (PoC) istismar kodunun çevrim içi ortamda paylaşıldığını doğruladı. Bu nedenle güncellemelerin gecikmeden yüklenmesi büyük önem taşıyor.
Microsoft, yamayı hemen yükleyemeyen yöneticiler için geçici çözüm yolları paylaştı. Bu çözümler arasında WSUS Sunucu Rolü’nün devre dışı bırakılması veya 8530 ve 8531 numaralı bağlantı noktalarına gelen trafiğin güvenlik duvarında engellenmesi yer alıyor. Ancak bu yöntemler uygulandığında istemci sistemlerin yerel sunucudan güncelleme alamayacağı uyarısında bulunuldu.
Microsoft açıklamasında yayınlanan yamaların kümülatif nitelikte olduğunu belirtti. Önceki güvenlik güncellemelerinin yüklenmesine gerek kalmadan doğrudan bu yamaların kurulabileceği açıklandı. Henüz ekim ayı Windows güvenlik güncellemesini yüklemeyen kullanıcıların, doğrudan bu acil güncellemeyi yüklemeleri tavsiye edildi. Güncelleme sonrasında sistemlerin yeniden başlatılması gerekiyor.
Microsoft, söz konusu güvenlik açığını kapatmak için WSUS senkronizasyon hatası ayrıntılarının görüntülenmesini geçici olarak devre dışı bıraktı. Şirket, bu özelliğin ilerleyen dönemlerde yeniden etkinleştirileceğini duyurdu.
