CVE-2025-24054 · Bilgilendirme

Microsoft Windows NTLM Hash Disclosure Spoofing Vulnerability

CVE-2025-24054, Microsoft Windows NTLM'de ağ üzerinden spoofing yapabilen bir güvenlik açığıdır.

Üretici
Microsoft
Ürün
Windows
Seviye
Orta
Yayın Tarihi
02 Nisan 2026
Okuma
9 dk okuma

CVE-2025-24054: Microsoft Windows NTLM Hash Disclosure Spoofing Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2025-24054, Microsoft Windows NTLM (NT LAN Manager) protokolünde bulunan ve yetkisiz kullanıcıların bir ağa yönelik sahtecilik (spoofing) eylemleri gerçekleştirmesine olanak tanıyan önemli bir zafiyettir. Bu hata, özellikle file name veya path kontrolünün dışsal olarak gerçekleştirilmesi gerektiği durumlarda ortaya çıkıyor. CWE-73 olarak tanımlanan bu zafiyet, kötü niyetli bir saldırganın sisteme zarar vermek amacıyla hedeflenen dosya ya da yolu değiştirmesine izin vererek ciddi güvenlik sorunlarına yol açabiliyor.

NTLM, Windows işletim sistemlerinde kimlik doğrulama işlemleri için kullanılan eski bir protokoldür. Kullanıcılar, kimlik doğrulamada NTLM'yi kullandıklarında, bazı durumlarda yetkisiz isteklerde bulunma olasılığına karşı duyarsız kalabiliyorlar. Bu tür bir zafiyet, gerçek dünyada çok sayıda sektörde ciddi etkiler yaratabilecek bir güvenlik açığıdır. Bankacılık, sağlık ve enerji gibi hassas veri içeren sektörlerde, bu zafiyetlerin istismar edilmesi kötü niyetli kullanıcılar için fırsat sunuyor.

Bu zafiyetin iç yapısına bakıldığında, NTLM protokolünün dosya adları ve yolları kontrol etme mekanizmasındaki zayıf noktaların suistimale açık olduğu görülmektedir. Yani, bir saldırgan uygun bir dosya adı veya yolu belirleyerek, sistemin bu istekleri hatalı bir şekilde kabul etmesine neden olabiliyor. Örneğin, bir saldırgan sahte bir dosya yolunu kullanarak, kullanıcıların verilerini çalmayı veya sisteme kötü amaçlı yazılımlar yüklemeyi hedefleyebilir.

Gerçek Dünyada bir senaryo düşündüğümüzde, bir finansal kurum, çalışanlarının NTLM kimlik doğrulama sürecine dayanarak kritik verilere erişebilmesini sağlıyor. Eğer bu zafiyet istismar edilirse, kötü niyetli bir kişi sahte bir dosya yolu oluşturup, çalışanın kimlik bilgilerini çalarak sisteme erişim sağlayabilir. Böyle bir durumda, saldırgan önemli finansal verilere ulaşabileceği gibi, aynı zamanda kurumun itibarına da büyük zarar verebilir.

CVE-2025-24054'ün dünya genelinde etkilediği sektörler arasında özellikle finansal hizmetler, sağlık hizmetleri ve kamu sektörleri öne çıkıyor. Bu sektörlerdeki kurumsal yapılar, yüksek miktarda hassas veri barındırdığı için, herhangi bir NTLM zafiyeti, büyük çaplı veri ihlallerine yol açabilir. Örneğin, sağlık sektöründe kişisel sağlık bilgilerinin korunması oldukça hassas bir konudur. Bu nedenle, NTLM ile yapılan kimlik doğrulama işlemlerinin güvenli hale getirilmesi kritik bir önem taşımaktadır.

Sonuç olarak, CVE-2025-24054 zafiyeti, siber güvenlik alanında ciddi tehditler oluşturuyor. Kurumların bu tür zafiyetlere karşı bilinçli olması ve mevcut güvenlik stratejilerini gözden geçirmesi son derece önemlidir. Doğru yazılım mühendisliği uygulamaları, sürekli güvenlik güncellemeleri ve kullanıcı eğitimleri, zafiyetlerin etkilerini azaltmada büyük rol oynayacaktır. White Hat Hacker'lar (beyaz şapkalı hackerlar), bu tür zafiyetleri tespit ederek sistemlerin güvenliğini artırmak için kritik bir işlev üstleniyor.

Teknik Sömürü (Exploitation) ve PoC

Microsoft Windows NTLM (NT LAN Manager) protokolünde bulunan CVE-2025-24054 zafiyeti, kötü niyetli bir saldırganın ağ üzerinden spoofing (sahtecilik) yapmasına olanak tanıyan bir dosya adı veya yolu kontrol dışı bırakma açığını içermektedir. Bu zafiyet, sistemlerin güvenliğini tehdit eden ciddi bir sorun olarak öne çıkmaktadır. Aşağıda, zafiyetin teknik sömürüsü ve potansiyel bir PoC (Proof of Concept - Kavramsal Kanıt) örneği ele alınacaktır.

Öncelikle, CVE-2025-24054 zafiyetinin nedenlerini ve etkilerini daha iyi anlamak için, NTLM protokolünün nasıl çalıştığını incelemekte fayda var. NTLM, Microsoft’un yerel ağlarda kimlik doğrulama amacıyla kullanılan bir protokoldür. Bu protokol, kullanıcıların şifrelerini hashleyerek (NTLM hash) depolar ve bu hash değerleri üzerinden kimlik doğrulama işlemleri gerçekleştirilir. Ancak, bu zafiyette bir dosya adı veya yolu dış kontrol edildiğinden, saldırganlar sahte bir kimlik ile sisteme girebilirler.

Zafiyeti sömürmek için izlenebilecek temel adımlar şunlardır:

  1. Ağ Taraması ve Hedef Belirleme: İlk aşamada, zafiyetin var olup olmadığını tespit etmek için ağ üzerinde uygun hedefleri taramak gereklidir. Bu aşamada, hangi sistemlerin NTLM kullandığını belirlemek önemlidir. Bunun için bir araç olarak Nmap kullanılabilir:
   nmap -p 139,445 --script smb-enum-shares <hedef_ip>

  1. Spoofing İhtiyacını Anlamak: Hedeflerin belirlenmesi sonucu, hangi dosya ve dizinlerin zayıf olduğunu anlamak amacıyla uygun bilgiler toplanır. Bu, ilgili sistemlerdeki kullanıcıların erişim izinleriyle ilişkili bilgileri içerir.

  2. Sahte Kimlik Oluşturma: Saldırgan, sistemdeki NTLM hash'lerini kullanarak sahte bir kimlik oluşturabilir ve bir şekilde bu kimliği hedef sisteme iletebilir. Örneğin, bir HTTP isteği aracılığıyla sistem yöneticisinin oturum açma bilgilerini taklit eden bir istek gönderilebilir.

   import requests

   url = "http://<target_ip>/login"
   payload = {
       'username': 'admin',
       'password': 'sahte_password'
   }
   response = requests.post(url, data=payload)

   if "başarılı oturum açma" in response.text:
       print("Sahte kimlik ile sisteme girildi.")

  1. Ağ İçerisinde Hareket Etme: Kullanıcı zaten sisteme giriş yaptıysa, sahte kimlik ile ağ içerisindeki diğer kaynaklara ve dosyalara erişim sağlamak mümkündür. Bu, 'Auth Bypass' (Yetkilendirme Atlatma) gibi tekniklerle daha geniş bir güvenlik açığına yol açabilir.

  2. Analiz ve İzleme: Sömürü sürecinin sonunda, elde edilen verilere dair sürekli bir izleme yapılmalıdır. HTTP istekleri ve yanıtları kaydedilerek olası saldırılara karşı bir yanıt mekanizması oluşturulmalıdır.

PoC aşaması, zafiyetin açığa çıkarılması ve kullanım alanlarının belirlenmesi açısından önemlidir. Zafiyet üzerindeki bu çalışmanın genel anlamda kötü amaçlı kullanılmaması için etik standartlara uygun şekilde yapılması gerektiğini unutmamak gerekiyor. Her zaman sistemlerin güvenliğini artırmaya yönelik çözümler geliştirmek, siber güvenlik uzmanlarının temel misyonudur.

Sonuç olarak, CVE-2025-24054 zafiyeti, NTLM protokolündeki ciddi bir güvenlik açığını temsil etmektedir. Bu tür zafiyetlerin sömürülmesi, yalnızca ağ güvenliğine değil, aynı zamanda bilgi sistemlerinin bütünlüğüne büyük tehditler oluşturabilir. Bu nedenle, sistem yöneticilerinin bu tür zafiyetleri sürekli olarak izlemeleri ve güncellemeleri elzemdir.

Forensics (Adli Bilişim) ve Log Analizi

Microsoft Windows'taki CVE-2025-24054 zafiyeti, NTLM (NT LAN Manager) protokolünün bir zayıf noktasını hedef alan ciddi bir güvenlik açığıdır. Bu zafiyet, kötü niyetli bir saldırganın, yetkisiz bir şekilde dosya adı veya yolu üzerindeki kontrolü ele geçirerek ağ üzerinden kimlik taklidi (spoofing) gerçekleştirmesine olanak tanır. Bu tarz bir saldırı, organizasyonların bilgi güvenliğini ciddi şekilde tehdit edebilir, çünkü verilerin doğruluğunu sorgulanabilir hale getirir. Adli bilişim (forensics) ve log analizi (log analysis), bu tür saldırıları tespit etmek için kritik önemdedir.

Bu tip bir saldırının meydana geldiğini anlamak için öncelikle SIEM (Security Information and Event Management) sistemlerinde ve log dosyalarında anormal davranışları izlemek gerekir. Özellikle, Access log (erişim günlükleri) ve Error log (hata günlükleri) bu tür olayları tespit etmek için önemli bir kaynaktır. Saldırganın ağı hedef almasını kolaylaştıran oturum açma denemeleri ve NTLM hash'leri üzerinde yapılan şüpheli işlemler incelenmelidir.

Bir siber güvenlik uzmanı, aşağıdaki imzalara (signature) ve belirteçlere (indicator) dikkat etmelidir:

  1. Başarısız Giriş Denemeleri: Loglar, belirli bir kullanıcı hesabının arka arkaya başarısız giriş denemelerini kaydedebilir. Bu durum, bir saldırganın kimlik bilgilerini zorlamaya çalıştığını gösterir. Aşağıdaki gibi bir log satırı aramak önemlidir:
   Failed login attempt for user: [username]
  1. NTLM Authentications: Oturum açma işlemlerinde NTLM kimlik doğrulama girişimlerini içeren loglar dikkatlice incelenmelidir. Eğer bir kullanıcı için bu sayının olağanın üstünde olduğu gözlemlenirse, bir anormallik var demektir. Böyle bir log kaydı aşağıdaki gibi olabilir:
   NTLM authentication success for user: [username] from IP: [attacker_IP]
  1. Yüksek Hacimli Erişim Talepleri: Özellikle belirli dosya yollarında veya sistem kaynaklarına erişim talepleri arttığında, bu şüpheli bir durum olarak değerlendirilmelidir. Yüksek hacimle gelen erişim taleplerinin logları şöyle görünebilir:
   Access to [path/to/sensitive/file] from IP: [attacker_IP] at [timestamp]
  1. Anormal Hata Kayıtları: Loglarda hata mesajlarının sık sık görünmesi, sistemin bir sorunla karşılaştığını veya saldırganın bir açık bulmaya çalıştığını gösterebilir. Örneğin:
   Error accessing [path/to/resource]: Access Denied
  1. Zamanlama Anormallikleri: Bir kullanıcı hesabının, normal iş saatleri dışında (örneğin gece yarısı) sistemde işlem yapması, saldırının bir başka belirtisi olabilir. Bu durumlar için loglarda şu tür ifade aranmalıdır:
   User [username] accessed the system at [unusual_time]

Teknik olarak bu saldırının etkilerini azaltmak ve tespit edebilmek için, organizasyonlar güçlü bir log analizi yapmalı ve hemen her log kaydını sistematik bir şekilde incelemelidir. Bu süreç, tespit edilen anomali ve imzaları ile olayların zamanı göz önünde bulundurularak değerlendirilmeli ve gerekli önlemler alınmalıdır. Siber güvenlik ekipleri, düzenli olarak güvenlik güncellemelerini takip ederek ve sistemlerini güvenli hale getirerek bu tür zafiyetlere karşı kendilerini korumalıdır.

Sonuç olarak, NTLM hash sızıntıları ve bu tür zayıflıkların tespiti, siber güvenlik alanında dikkatli ve özenli bir yaklaşım gerektirmektedir. Log analizi sürecinin düzenli olarak gerçekleştirilmesi, potansiyel tehditlerin zamanında tespit edilmesine olanak tanır ve siber krizlerin önlenmesinde büyük önem arz eder.

Savunma ve Sıkılaştırma (Hardening)

Microsoft Windows NTLM, Modern işletim sistemlerinde yaygın olarak kullanılan bir kimlik doğrulama protokolüdür. Ancak, özellikle NTLM (NT LAN Manager) ile ilgili CVE-2025-24054 zafiyeti, dışarıdan kontrol edilen dosya adı veya yolu ile ilgili bir sorun olarak öne çıkmaktadır. Bu güvenlik açığı, bir saldırgana ağ üzerinden sahtecilik (spoofing) yapma imkanı tanımaktadır. Bu nedenle, siber güvenlik uzmanlarının bu zafiyeti dikkate alarak savunma ve sıkılaştırma (hardening) stratejilerini doğru bir şekilde uygulamaları gereklidir.

Bir saldırgan, NTLM protokolü üzerinden kullanıcıların kimlik bilgilerini çalmaya çalışabilir. Örneğin, bir ağ üzerinde sahte bir dosya sunarak veya sahte bir hizmet oluşturarak, kullanıcıların bu hizmete erişim sağlamasını ve dolayısıyla kimlik bilgilerini girmesini sağlayabilir. Kullanıcı, bu sahte hizmete eriştiğinde, saldırgan bu bilgileri kullanarak daha fazla erişim elde edebilir. Bu durum, yalnızca bir kullanıcı hesabının değil, aynı zamanda ağın tamamının tehlikeye girmesine neden olabilir.

Zafiyetin etkilerinden korunmanın en etkili yollarından biri, NTLM kullanımını en aza indirmektir. Mümkünse, daha güvenli protokoller olan Kerberos gibi alternatif kimlik doğrulama yöntemlerine geçiş yapılmalıdır. Eğer NTLM kullanımı zorunlu ise, aşağıdaki güvenlik önlemlerini almak faydalı olabilir:

  1. Güçlü Kimlik Doğrulama: Kullanıcıların karmaşık ve tahmin edilmesi zor şifreler seçmelerini teşvik edin. Ayrıca, iki faktörlü kimlik doğrulama (2FA) gibi ek güvenlik katmanları uygulamak, kimlik doğrulama süreçlerinde ek koruma sağlar.

  2. Güncellemeleri Yapın: Microsoft, NTLM ile ilgili zafiyetlerin üstesinden gelmek için düzenli olarak güncellemeler yayımlamaktadır. Bu güncellemeleri takip edin ve sistemlerinizi güncel tutun.

  3. Firewall (Güvenlik Duvarı) Kuralları: Mevcut firewall (güvenlik duvarı) yapılandırmanızı gözden geçirin. NTLM trafiğine izin veren kuralları gözden geçirerek gereksiz erişimleri kısıtlayın. Alternatif bir WAF (Web Application Firewall) kullanmak, zararlı istekleri engellemeye yardımcı olabilir.

    Örneğin:

   # Kural: NTLM trafiğini sınırlandırma
   if (ip.src == 'kötü_ip_adresi') or (http.uri contains 'ntlm'):
       drop

  1. Ağ İzleme: Ağ trafiğinizi sürekli izleyerek şüpheli aktiviteleri tespit edebilir ve hızlı bir şekilde müdahale edebilirsiniz. Anomalik trafikleri belirlemek için SIEM (Security Information and Event Management) çözümleri kullanmak, olası saldırıların önüne geçmek için etkilidir.

  2. Sürekli Eğitim: Kullanıcıları ve çalışanları, sosyal mühendislik saldırılarına (spear phishing) karşı eğitmek de büyük önem taşımaktadır. Kullanıcılara gelen e-postalarda kimlik bilgilerini paylaşmamaları gerektiğini hatırlatın.

Sonuç olarak, CVE-2025-24054 zafiyeti, dikkatle ele alınması gereken bir tehdit oluşturmaktadır. NTLM protokolü yerine daha güvenli yöntemlere geçiş yapılması, bu tür tehlikeleri en aza indirgemenin en etkili yolu olacaktır. Ancak, mevcut sistemlerde NTLM kullanımı zorunlu ise, yukarıdaki savunma ve sıkılaştırma önerilerini dikkate alarak güvenliği artırmak mümkündür. Unutmayın, siber güvenlik bir süreçtir ve sürekli olarak gözden geçirilmesi gereken bir alanıdır.