CISA 6 Ekim 2025 tarihinde CVE-2021-43226 için acil uyarı yayımladı. Uyarı Microsoft Windows ayrıcalık yükseltme açığının aktif istismar edildiğini belirtti. Hedeflenen ortamlar arasında etki alanı denetleyicileri ve dosya sunucuları öne çıkıyor. Güvenlik açığı Ortak Günlük Dosya Sistemi sürücüsünde tespit edildi. Saldırganlar kötü amaçlı CLFS günlükleri oluşturarak arabellek taşma koşullarını tetikleyebiliyor. Yükseltilmiş ayrıcalıklarla saldırganlar sistemde geniş haklara sahip olabiliyor. CISA bu riske karşı federal kurumların acil aksiyon almasını talep etti.
Güvenlik açığı çok sayıda Windows sürümünü kapsıyor. Etkilenen platformlar arasında Windows 10 Windows 11 ve çeşitli Windows Server sürümleri yer alıyor. Araştırmacılar kavram kanıtı istismar kodlarını tespit ettiğini raporladı. Bu durum online yeraltı forumlarında paylaşılan örneklerin olduğunu gösteriyor. Saldırı önkoşulu yerel erişim ve kimliği doğrulanmış hesapların bulunmasıdır. Kimlik avı veya sosyal mühendislik ile sağlanan ilk erişimler saldırı zincirini başlatabiliyor. Kurumlar öncelikle kritik sunucuları ve etki alanı denetleyicilerini kontrol etmelidir.
Teknik ayrıntılar ve etki alanı
CLFS sürücüsünde bellek yönetimi sırasında kullanıcı tarafından sağlanan verilerin yetersiz doğrulanması zafiyeti oluşturuyor. Sonuç olarak arabellek taşma koşulları tetiklenerek rastgele kod yürütme mümkün hale geliyor. Saldırılar kötü amaçlı günlük dosyalarıyla hazırlanmış senaryolar aracılığıyla ilerleyebiliyor. İlgili dosyalar arasında clfs.sys ve clfsw32.dll dosyaları öne çıkıyor. Hedef listesi kritik sunucuları içerdiği için risk seviyesi kurumsal ölçekte yüksek kabul ediliyor. Saldırganlar kısa sürede geniş erişim elde ederek hasarı büyütebiliyor. Güvenlik ekipleri CLFS ilişkili davranışları ve anormal dosya sistemi erişimlerini yakından izlemeli.
Kavram kanıtı istismarlarının ortaya çıkması durumun aciliyetini artırıyor. CISA'nın KEV kataloğuna ekleme kararı gerçek dünya istismarlarının varlığına işaret ediyor. CVSS 3.1 skoru 7.8 olarak belirlenerek yüksek risk sınıfı atandı. Kurumlar Microsoft Baseline Security Analyzer ve üçüncü taraf tarayıcılarla acil taramalar yapmalı. Eksik yamalar tespit edilip hızla uygulanmalı ve izleme sistemleri güçlendirilmeli. Olay günlükleri 4656 ve 4658 kimlikleri açısından özel olarak değerlendirilmelidir. Bu teknik önlemler ihmal edilmeden kurumsal dayanıklılık artırılmalıdır.
Hızlı önlem ve yapısal savunma
CISA yönlendirmesi kurumların yamaları Windows Update veya WSUS aracılığıyla uygulamasını şart koşuyor. Sistem yöneticileri önceliği etki alanı denetleyicilerine dosya sunucularına ve kritik altyapıya vermeli. Hemen güncelleme yapılamayan sistemler için geçici önlemler devreye konmalı. Uygulama Denetimi ilkeleri ve Windows Defender Exploit Guard önerilen geçici kontroller arasında bulunuyor. Güvenlik ekipleri düzenli yama planları ve acil müdahale süreçleri oluşturmalı. Olay müdahale ekipleri anormal süreç ve dosya erişimlerini derinlemesine analiz etmeli. Bu adımlar kurum genelinde risk azaltma etkisi gösterecektir.
İzleme ve tespit araçları sürekli çalıştırılmalı ve anormallikler erken aşamada yakalanmalı. İletişim ekipleri personeli kimlik avı ve sosyal mühendislik risklerine karşı güncel bilgilendirmelere tabi tutmalı. Yedekleme stratejileri düzenli olarak doğrulanmalı ve kurtarma tatbikatları tekrarlanmalı. Üçüncü taraf güvenlik tarayıcıları ile çapraz doğrulama yapılması önerilmektedir. Tedarik zinciri ve erişim yönetimi politikaları gözden geçirilmeli ve gerekirse sıkılaştırılmalıdır. Kritik altyapı sahipleri arıza senaryolarını çalıştırarak hazır olma düzeyini ölçmelidir. Bu kapsamlı yaklaşım kurumun güvenlik dayanıklılığını kayda değer biçimde yükseltecektir.
Henüz hiç yorum yapılmamış. İlk yorumu sen yap!
