Microsoft, Windows Server Update Services (WSUS) bileşeninde kritik bir uzaktan kod yürütme açığını (CVE-2025-59287) kapatmak üzere acil güvenlik yamaları yayımladı. CVSS skoru 9.8 olan bu zafiyet, WSUS’ta yetkisiz saldırganların ağ üzerinden SYSTEM ayrıcalıklarıyla kod çalıştırmasına olanak tanıyor. Açığın temelinde, BinaryFormatter ile güvenilmeyen verilerin deserialize edilmesi yer alıyor. Bu durum, özellikle GetCookie() uç noktasına gönderilen AuthorizationCookie nesnelerinin AES-128-CBC ile şifrelenmiş verilerinin uygun tür doğrulaması olmadan deserialize edilmesinden kaynaklanmaktadır.

Zafiyetin Teknik Detayları ve Etkileri

Bu güvenlik açığı, WSUS Sunucu Rolü etkin olan Windows Server sürümlerini (2012, 2012 R2, 2016, 2019, 2022 ve 2025) etkiliyor. Saldırganlar, kimlik doğrulaması gerektirmeyen bir ortamda, “legacy serialization mechanism” üzerinden özel hazırlanmış istekler göndererek deserialization tabanlı RCE (Remote Code Execution) gerçekleştirebiliyor. Bu saldırılar, WSUS işçi süreçlerinin cmd.exe ve PowerShell örnekleri başlatmasına, Base64 kodlu payload’ların indirilip çalıştırılmasına yol açıyor. Payload’lar genellikle .NET yürütülebilir dosyaları olup, komutları doğrudan loglara yansıtmadan çalıştırıyor.

Aktif İstismar ve Güvenlik Araştırmacılarının Rolü

Hollanda Ulusal Siber Güvenlik Merkezi (NCSC) ve Eye Security tarafından 24 Ekim 2025’te ilk aktif istismar gözlemlendi. Eye Security CTO’su Piet Kerkhofs, saldırganların “aaaa” adlı özel istek başlığını komut kaynağı olarak kullandığını ve bu sayede komutların loglarda görünmesini engellediğini belirtti. HawkTrace, f7d8c52bec79e42795cf15888b85cbad ve CODE WHITE GmbH’den Markus Wulftange gibi araştırmacılar açığı keşfedip raporladı. Huntress ise 23 Ekim 2025’te WSUS’un varsayılan 8530 ve 8531 portlarına yönelik saldırı girişimlerini tespit etti ancak WSUS’un bu portları genellikle kapalı tuttuğunu vurguladı.

Önlemler ve Tavsiyeler

Microsoft, yamaların yüklenmesinin ardından sistemlerin yeniden başlatılmasını öneriyor. Acil güncelleme yapılamayan ortamlar için geçici önlemler arasında WSUS Sunucu Rolünün devre dışı bırakılması ve 8530 ile 8531 portlarının güvenlik duvarı tarafından engellenmesi bulunuyor. Ancak Microsoft, bu önlemlerin yamalar uygulanana kadar geri alınmaması gerektiğini belirtiyor. Ayrıca, BinaryFormatter kullanımının Ağustos 2024 itibarıyla .NET 9 sürümünden kaldırılması, gelecekte benzer zafiyetlerin önüne geçmek için önemli bir adım olarak değerlendiriliyor.

Geleceğe Yönelik Teknik Perspektif

Bu tür deserialization zafiyetleri, özellikle MCP istemcileri ve Pydantic AI gibi modern uygulamalarda da dikkatle ele alınmalıdır. AsyncRAT gibi uzaktan erişim araçlarının benzer tekniklerle istismar edilme riski, konteyner ortamlarında rastgele açılan SSH portları üzerinden de artabilir. Bu nedenle, WSUS gibi kritik altyapı bileşenlerinde güvenli seri hale getirme yöntemlerinin benimsenmesi ve BinaryFormatter gibi eski teknolojilerden vazgeçilmesi siber güvenlik açısından hayati önem taşımaktadır.