Microsoft’un Windows Server Update Service (WSUS) sisteminde tespit edilen kritik güvenlik açığı, siber saldırganlar tarafından aktif biçimde kullanılmaya başlandı. CVE-2025-59287 koduyla izlenen açık, WSUS Sunucu Rolü etkinleştirilmiş sistemlerde uzaktan kod yürütme yetkisi veriyor. Güvenlik uzmanları, açığın düşük karmaşıklıkta saldırılarla uzaktan istismar edilebildiğini ve kullanıcı etkileşimi gerektirmediğini bildirdi.
Güvenlik Açığı WSUS Sunucularını Hedef Aldı
Microsoft’un açıklamasına göre açık, WSUS Sunucu Rolü aktif olan sistemlerde saldırganların yetkisiz erişim elde etmesine neden olabiliyor. Sistem üzerinde SYSTEM yetkileriyle zararlı komutlar çalıştırılabiliyor. Bu durum, WSUS sunucuları arasında yayılabilen saldırılara zemin hazırlıyor. Microsoft, açığı kapatmak için 23 Ekim’de olağan takvimin dışında acil güvenlik yamaları yayınladı.
Yamaların kapsadığı sürümler şöyle sıralandı:
- Windows Server 2025 (KB5070881)
- Windows Server, sürüm 23H2 (KB5070879)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB5070886)
- Windows Server 2012 (KB5070887)
Microsoft ayrıca yamaları hemen yükleyemeyen yöneticilere WSUS Sunucu Rolü’nü devre dışı bırakmalarını veya 8530 ve 8531 numaralı bağlantı noktalarını kapatmalarını önerdi.
Hollanda merkezli Eye Security, 24 Ekim sabahından itibaren WSUS sistemlerine yönelik tarama ve istismar girişimleri tespit etti. Şirket, en az bir müşterisinin sisteminin bilinen PoC kodundan farklı bir yöntemle hedef alındığını duyurdu. Eye Security’nin verilerine göre dünya genelinde yaklaşık 2.500 WSUS sunucusu internete açık durumda. Bu sayının 250’si Almanya’da, 100’e yakını ise Hollanda’da bulunuyor.
ABD merkezli Huntress Labs de aynı gün WSUS açıklarını hedef alan saldırılar tespit ettiğini bildirdi. Huntress, saldırganların PowerShell komutları aracılığıyla iç ağ keşfi yaptığını ve topladıkları bilgileri uzaktaki bir sunucuya gönderdiğini belirtti. Komutların arasında whoami, net user /domain ve ipconfig /all gibi sorgular yer aldı.
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC-NL), açığın aktif biçimde kullanıldığını doğruladı. Kurum, 24 Ekim tarihinde gerçekleştirilen saldırılarda CVE-2025-59287 numaralı güvenlik açığının istismar edildiğini bildirdi. WSUS sistemlerinin internet üzerinden erişilebilir şekilde yapılandırılmaması gerektiği vurgulandı.
Microsoft, açığı “saldırı olasılığı yüksek” kategorisinde değerlendirdi. Şirket, saldırıların yayılma riskine karşı tüm yöneticilerin acil güncellemeleri kurmasını tavsiye etti.
