ESET araştırmacıları, en yaygın görüntü formatlarından biri olan JPG’nin özel olarak hazırlanmış bir örneğini kullanarak, uzaktan kod yürütme imkânı sağlayan kritik Windows güvenlik açığı CVE-2025-50165’i analiz etti. Zscaler ThreatLabz tarafından bulunan ve belgelenen bu güvenlik açığı, Microsoft tarafından  Ağustos ayında düzeltildi.  ESET’in kök neden analizi, hatalı kodun tam yerininin belirlenmesini ve çökmenin yeniden oluşturulmasını sağladı. Sonuçlar sömürü senaryosunun göründüğünden daha zor olduğunu ortaya koyuyor.

Güvenlik açığını araştıran ESET araştırmacısı Romain Dumont “WindowsCodecs.dll, 12 bit veya 16 bit veri hassasiyetiyle bir JPG görüntüsünü kodlamaya çalışırken çöküyor. Microsoft bu güvenlik açığını kritik olarak sınıflandırmış olsa da derinlemesine yapılan analiz büyük ölçekli istismarın son derece olası olmadığını gösteriyor. Özel olarak hazırlanmış bir görüntüyü açmak, yani kodunu çözmek ve görüntülemek, bu güvenlik açığını tetiklemez. Ancak görüntü kaydedildiğinde veya Microsoft Photos uygulaması gibi bir ana uygulama görüntülerin küçük resimlerini oluşturduğunda güvenlik açığı bulunan jpeg_finish_compress işlevi çağrılabilir” açıklamasını yaptı.

CVE-2025-50165, JPG görüntüsü kod çözme sürecinde değil, kodlama ve sıkıştırma sürecinde bir kusur. ESET, basit bir 12 bit veya 16 bit JPG görüntüsü kullanarak çökmeyi yeniden üretmek için kendi yöntemini ve ilk yayımlanan yamanın incelemesini sundu. Araştırma, güvenlik açığı bulunan bileşenin, Aralık 2024’te benzer sorunların tespit edilip çözüldüğü açık kaynaklı libjpeg-turbo kütüphanesini kullandığını ortaya çıkardı.

JPG, eski ve yaygın olarak kullanılan; otomatik yazılım testlerinde belki de en popüler dijital görüntü formatı olmasına rağmen bazı kodeklerde hâlâ güvenlik açıkları bulunabilir. CVE-2025-50165 ile ilgili bu ESET Araştırma çalışması, üçüncü taraf kütüphaneleri kullanırken güvenlik güncellemelerini takip etmenin önemini de vurguluyor. WindowsCodecs.dll bir kütüphane olduğundan bir ana uygulama JPG görüntülerinin (yeniden) kodlanmasına izin veriyorsa güvenlik açığına sahip kabul edilir ve yalnızca saldırganın uygulama üzerinde yeterli kontrole sahip olması durumunda (adres sızıntısı, yığın manipülasyonu) istismar edilebilir.

JPG dosyası Windows’ta uzaktan kod çalıştırabilir mi? yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Yaklaşık altı aylık bir duraklamanın ardından yeniden faaliyet göstermeye başlayan PassiveNeuron, hedef ağlara sızmak ve kalıcı erişim sağlamak için üç ana araç kullanıyor. Bunlardan ikisi daha önce bilinmeyen yazılımlar. Kampanyada kullanılan araçlar şunlar: modüler bir arka kapı yazılımı olan Neursite, .NET tabanlı bir implant olan NeuralExecutor ve tehdit aktörleri tarafından sıkça istismar edilen sızma testi aracı Cobalt Strike.

Kaspersky GReAT güvenlik araştırmacısı Georgy Kucherin, konuyla ilgili olarak şunları söyledi: “PassiveNeuron, organizasyonların bilişim altyapısının bel kemiği sayılan sunucuları hedef almasıyla öne çıkıyor. İnternete açık sunucular, gelişmiş kalıcı tehdit (APT) grupları için son derece cazip hedeflerdir; çünkü tek bir sistemin ele geçirilmesi bile kritik sistemlere erişim sağlayabilir. Bu nedenle, bu tür sunucularla ilişkili saldırı yüzeyinin en aza indirilmesi ve olası enfeksiyonların tespiti için sunucu uygulamalarının sürekli izlenmesi büyük önem taşır.”

Neursite arka kapısı, sistem bilgilerini toplayabiliyor, çalışan süreçleri yönetebiliyor ve ele geçirilen ana makineler üzerinden ağ trafiğini yönlendirerek ağ içinde yatay hareket etmeye olanak tanıyor. Örneklerde, bu aracın hem dış komuta-kontrol (C2) sunucularıyla hem de ele geçirilmiş dahili sistemlerle iletişim kurduğu gözlemlendi.

NeuralExecutor ise ek zararlı yükler dağıtmak için tasarlanmış bir implant. Birden fazla iletişim yöntemini destekleyen bu yazılım, komuta-kontrol sunucusundan aldığı .NET bileşenlerini belleğe yükleyip çalıştırabiliyor.

Kaspersky, Windows Server sistemlerini hedef alan PassiveNeuron siber casusluk operasyonunu ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Windows 10 desteğinin Ekim 2025’te askıya alınmasının planlanması nedeniyle Kaspersky, Kaspersky Security Network kullanıcılarının onayıyla sağlanan anonimleştirilmiş işletim sistemi meta verilerini temel alan bir araştırma gerçekleştirerek, dünya çapında ne kadar cihazın hala Windows 10 işletim sistemini kullandığını belirledi.

Bir işletim sistemi kullanım ömrünün sonuna geldiğinde, çözülmemiş güvenlik açıkları yamalanmamış olarak kalır. Bu da siber suçluların bunları istismar etmek için fırsat elde edebileceği anlamına gelir. Bu nedenle, kişisel veya iş ağınızın risklerini korumak için işletim sisteminizi güncellemeniz önemle tavsiye edilir.

Araştırma, Microsoft’un desteğinin sona ermesine sadece bir ay kalmış olmasına rağmen, tüm kullanıcıların yarısından fazlasının (53%) şu anda Windows 10 işletim sistemini kullandığını gösterdi. Ayrıca cihazların %8,5’i, desteği 2020 yılında sona eren eski Windows 7 işletim sistemi sürümünü kullanmaya devam ediyor. Kaspersky Security Network’e göre, kullanıcıların yalnızca %33’ü Windows işletim sisteminin en son sürümü olan Windows 11’e geçmiş durumda. Bu da eski işletim sistemi sürümlerine olan bağlılığın yüksek olduğunu gösteriyor.

İş dünyasında Windows 10’un popülaritesi daha da yüksek. Kurumsal cihazların %59,5’i Windows 10 kullanırken, küçük işletmelerde bu rakam %51 ile biraz daha düşük. Her iki kategoride de Windows 7 işletim sistemi kullanıcılarının payı %6’nın biraz üzerinde. Kaspersky uzmanları, kurumsal altyapılarda eski işletim sistemi sürümlerinin kullanılmasının işletmeler için önemli bir risk oluşturduğu konusunda uyarıyor. Eski işletim sistemleri istismara karşı daha savunmasız hale gelmekle kalmıyor, aynı zamanda yeni yazılım ve güvenlik araçlarıyla uyumsuz hale de gelebiliyor. Bu uyumsuzluk, iş sürekliliği için ciddi bir tehdit oluşturabiliyor.

Kaspersky Güvenlik Uzmanı Oleg Gorobets, şunları söylüyor: “Daha yeni bir işletim sistemine geçiş, yanlış bir şekilde gereksiz ve hatta mevcut iş akışlarını arayüz değişiklikleri nedeniyle karmaşıklaştıran, sadece küçük yeni özellikler sunan bir eylem olarak algılanabilir. Ancak siber güvenlik açısından güvenlik güncellemeleri almayan bir sistem, tek bir tekmeyle yıkılabilecek çürümüş çitle çevrilmiş bir ev gibidir. Hem genel hem de kurumsal kullanıcılar için risk, yeni bir işletim sistemi sürümüne geçmenin getireceği küçük rahatsızlıklardan çok daha ağır basmaktadır. Kurumsal BT ve BT güvenlik departmanları için işletim sistemi başta olmak üzere iş odaklı kritik yazılımları güncel tutmak, öncelikli bir görevdir. Güvenlik risklerini azaltmak ve maliyetli veri ihlallerini, finansal ve itibar kaybını önlemek için zamanında güncelleme yapmak çok önemlidir. Güvenilir bir güvenlik çözümünüz olsa bile bu konuyu ihmal etmemelisiniz.” 

Kaspersky: Türkiye’deki PC’lerin yarısı hala Windows 10 işletim sistemini kullanıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

1 Nisan 2024’te VirusTotal’a yüklenen bir belge Kaspersky araştırmacılarının dikkatini çekti. Açıklayıcı bir dosya adına sahip olan belge, potansiyel bir Windows işletim sistemi güvenlik açığına işaret ediyordu. Bozuk bir İngilizce’ye ve güvenlik açığını tetikleme detaylarının eksik olmasına ragmen belge, güvenlik açıkları farklı olsa da CVE-2023-36033 için sıfırıncı gün istismarına benzer bir istismar sürecini tanımlıyordu. Ekip, güvenlik açığının kurgusal ya da istismar edilemez olduğundan şüphelenerek araştırmalarını sürdürdü. Hızlı bir kontrol, bunun sistem ayrıcalıklarını artırabilen gerçek bir sıfırıncı gün güvenlik açığı olduğunu ortaya çıkardı.

Kaspersky bulgularını derhal Microsoft’a bildirdi, Microsoft da güvenlik açığını doğruladı ve bunu CVE-2024-30051 olarak atadı. Raporun ardından Kaspersky, bu sıfır gün güvenlik açığını kullanan istismar ve saldırıları izlemeye başladı. Nisan ortasına gelindiğinde ekip, CVE-2024-30051 için bir istismarın tespit edildiğini ve QakBot ile diğer zararlı yazılımlarla birlikte kullanıldığını gözlemledi. Bu durum, birden fazla tehdit aktörünün bu istismara erişimi olduğunu gösteriyor.

Kaspersky GReAT’te baş güvenlik araştırmacısı olan Boris Larin, ‘VirusTotal’da bulduğumuz belge, açıklayıcı yapısı nedeniyle ilgimizi çekti ve daha fazla araştırma yapmaya karar verdik. Bu da bizi bu kritik sıfır gün güvenlik açığını keşfetmeye yöneltti. Tehdit aktörlerinin bu istismarı hızla cephanelerine entegre etmesi, siber güvenlikte zamanında güncellemelerin ve dikkatli olmanın önemini vurguluyor.'”

Kaspersky, çoğu kullanıcının Windows sistemlerini güncellemesi için yeterli zaman geçtikten sonra CVE-2024-30051 hakkında teknik detayları yayımlamayı planlıyor. Kaspersky, hızlı analiz ve yamaları yayınladıkları için Microsoft’a teşekkürlerini sunuyor. 

Kaspersky ürünleri, CVE-2024-30051 ve ilgili kötü amaçlı yazılımların istismarını tespit etmek için aşağıdaki kararlarla güncellendi:

• PDM:Exploit.Win32.Generic
• PDM:Trojan.Win32.Generic
• UDS:DangerousObject.Multi.Generic
• Trojan.Win32.Agent.gen
• Trojan.Win32.CobaltStrike.gen

Kaspersky, sofistike bir bankacılık Truva Atı olan QakBot’u 2007’de keşfedildiğinden beri takip ediyor. Başlangıçta bankacılık kimlik bilgilerini çalmak için tasarlanan QakBot, e-posta hırsızlığı, keylogging ve kendini yayma ve fidye yazılımı yükleme yeteneği gibi yeni işlevler edinerek önemli ölçüde gelişti. Kötü amaçlı yazılım sık güncellemeleri ve geliştirmeleriyle biliniyor ve bu da onu siber güvenlik ortamında kalıcı bir tehdit haline getiriyor. Son yıllarda QakBot’un, dağıtım için Emotet gibi diğer botnetleri kullandığı gözlemlendi.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, yeni Windows sıfırıncı gün açığından yararlanan QakBot saldırılarını keşfetti yazısı ilk önce En Gazete üzerinde ortaya çıktı.