Microsoft’un NTLM Açığı (CVE-2025-24054)! Aktif Olarak İstismar Ediliyor

Microsoft’un Mart 2025’te yamaladığı CVE-2025-24054 kodlu NTLM zafiyeti, aktif olarak kullanılmaya başlandı. Güvenlik açığı, NTLM hash’lerinin sızdırılmasına ve ağ üzerinden spoofing imkan tanıyor.

Microsoft, 11 Mart 2025 tarihinde bu zafiyeti “istismar edilmesi zor” olarak sınıflandırsa da, Check Point Research tarafından 16 Nisan’da yayımlanan bir raporda, açığın 19 Mart’tan bu yana gerçek saldırılarda kullanıldığı ortaya kondu. ABD Siber Güvenlik Ajansı CISA da, 17 Nisan’da CVE-2025-24054’ü aktif olarak istismar edilen zafiyetler listesine ekledi.

Saldırının Özeti:

• Açık, kötü amaçlı .library-ms dosyaları aracılığıyla NTLM hash’lerinin elde edilmesine olanak tanıyor.
• Kullanıcının dosyayı yalnızca sağ tıklaması, klasöre göz atması ya da sürükleyip bırakması bile tetikleyici olabiliyor.
• Dropbox bağlantıları içeren zararlı e-postalar yoluyla, Polonya ve Romanya’daki kamu ve özel kurumlara karşı saldırılar düzenlendi.
• Saldırganlar, NTLMv2 SSP hash’lerini toplayarak sistemlere yetkisiz erişim sağlayabiliyor.

Microsoft’un Önlemleri:

Microsoft, desteklenen tüm Windows sürümleri (Windows Server 2008 R2’den Windows Server 2025’e kadar; Windows 10 ve 11 dahil) için güvenlik güncellemeleri yayımladı. Ancak saldırganların bu yamadan önce açığı keşfetmiş ve aktif kullanıma başlamış olması dikkat çekici.

Uzmanlar, kurumların Mart ayında yayımlanan güvenlik güncellemelerini acilen uygulamasını ve kullanıcıların bilinmeyen dosyalara karşı daha dikkatli olmasını tavsiye ediyor.