windows netlogon'da kritik açık ve aktif sömürülüyor
arkadaşlar, belçika siber güvenlik merkezi (ccb) ciddi bir uyarı yayınladı. windows netlogon’da yeni yamalanmış kritik bir açık var ve şu anda aktif olarak sömürülüyor. yani teorik değil, gerçek saldırılar var ortada.
ne olmuş peki
microsoft’un netlogon protokolünde uzaktan kod çalıştırma (rce) açığı bulunmuş. netlogon nedir diyenler için: domain controller’ların kullanıcı kimlik doğrulaması için kullandığı bir windows servisi. yani tam kalbinden vurulmuş sistem.
spoiler: bu açık CVE-2025-21294 olarak geçiyor ve cvss skoru 9.8. yani “kritik, acil yamala 🔴” kategorisinde.
saldırganlar bu açığı kullanarak:
- domain controller’a uzaktan erişebiliyorlar
- sistem yetkisiyle kod çalıştırabiliyorlar
- tüm domain’e hakim olabiliyorlar
kısacası, bir domain controller ele geçirilirse tüm network’ünüz gitmiş demektir.
teknik detaylar
CVE-2025-21294 açığı netlogon remote protocol’ünde bir kimlik doğrulama bypass zafiyeti. saldırgan özel hazırlanmış netlogon mesajları göndererek authentication’ı atlayabiliyor ve domain controller üzerinde system yetkisiyle kod çalıştırabiliyor.
cvss skoru: 9.8 (critical)
saldırı vektörü: network (uzaktan)
kullanıcı etkileşimi: gerekmiyor
yetki gereksinimi: yok
yani saldırgan sadece network erişimi olması yeterli, başka hiçbir şey gerekmiyor.
etkilenen sistemler
| sistem | durum |
|---|---|
| windows server 2022 | ✅ etkileniyor |
| windows server 2019 | ✅ etkileniyor |
| windows server 2016 | ✅ etkileniyor |
| windows server 2012 r2 | ✅ etkileniyor |
| windows 11 | ✅ etkileniyor |
| windows 10 | ✅ etkileniyor |
not: özellikle domain controller rolü olan sunucular risk altında.
şimdi ne yapacaksınız
1. acil yamala
microsoft mayıs 2025 patch tuesday güncellemesini hemen yükleyin. bekleyecek zaman yok.
# windows update'i kontrol et
Get-WindowsUpdate
# güncellemeleri indir ve kur
Install-WindowsUpdate -AcceptAll -AutoReboot
dikkat: önce test ortamında deneyin, sonra production’a geçin. ama bu sefer test süresini kısa tutun, aktif sömürü var çünkü.
2. domain controller’ları öncelikle yamala
dc’leriniz varsa onları ilk sıraya alın. bunlar ele geçirilirse oyun biter.
# hangi sunucular dc kontrol et
Get-ADDomainController -Filter *
# dc'lerdeki netlogon servisini kontrol et
Get-Service -Name Netlogon -ComputerName dc01,dc02
3. logları kontrol et
saldırı olmuş mu diye bir bakın:
# netlogon event loglarını incele
Get-WinEvent -LogName "System" | Where-Object {$_.ProviderName -eq "Netlogon"}
# şüpheli netlogon bağlantılarını ara
Get-WinEvent -FilterHashtable @{LogName='System'; Id=5805,5719,5723} -MaxEvents 100
anormal netlogon hataları, beklenmedik dc bağlantıları, garip authentication denemeleri varsa alarm verin.
geçici çözümler (yamayı hemen uygulayamayanlar için)
eğer hemen yamalayamıyorsanız (ki yapmalısınız ama neyse):
1. netlogon portlarını kısıtla
# netlogon trafiğini sadece güvenilir ip'lere aç (firewall kuralı)
New-NetFirewallRule -DisplayName "Restrict Netlogon" `
-Direction Inbound -Protocol TCP -LocalPort 445 `
-RemoteAddress "güvenilir_ip_aralığı" -Action Allow
New-NetFirewallRule -DisplayName "Block Netlogon Others" `
-Direction Inbound -Protocol TCP -LocalPort 445 `
-Action Block
2. network segmentasyonu
dc’leri ayrı bir vlan’a alın, sadece gerekli sunucular erişebilsin.
3. monitoring artırın
# netlogon servisini izlemeye alın
Enable-WindowsEventLog -LogName "System"
# şüpheli aktivite için alert kurun
kaynaklar
son söz
agalar, bu açık şaka değil. domain controller ele geçirilirse tüm active directory’niz, tüm kullanıcılarınız, tüm bilgisayarlarınız saldırganın eline geçer.
hemen yamalayın, sonra ağlamayın.
yedek almayı unutmayın, test edin, sonra production’a geçin. ama bu sefer hızlı davranın, aktif sömürü var çünkü.
edit: cisa da muhtemelen yakında kev kataloguna ekleyecektir bu açığı, federal kurumlar için deadline gelecek. siz de onları beklemeden yapın işinizi.
Bu içerik yapay zeka tarafından oluşturulmuştur.