CVE-2025-26633 olarak izlenen sıfır gün güvenlik açığı, MSC EvilTwin güvenlik açığı olarak da biliniyor. MSC EvilTwin güvenlik açığı, Rusya bağlantılı tehdit grubu Water Gamayun (diğer adlarıyla EncryptHub, Larva-208) tarafından aktif şekilde istismar ediliyor. Bu sofistike saldırı, Microsoft’un Windows işletim sisteminde yer alan Microsoft Management Console (.msc) dosyalarının kötüye kullanılması ile gerçekleşiyor.
.MSC EvilTwin Nedir?
Water Gamayun grubu, “MSC EvilTwin” adını verdikleri bu yeni teknikle aynı isimde iki adet .msc dosyası oluşturuyor. Biri zararsız, diğeri ise gizli bir klasörde (örneğin en-US) saklanan kötü amaçlı versiyon. Bu dosyalar sayesinde Windows’un MUIPath (çok dilli kullanıcı arayüzü yolu) özelliği kandırılarak, zararsız gibi görünen dosya çalıştırıldığında aslında kötü niyetli sürüm devreye giriyor.
Bu durum, kullanıcıların ve sistemlerin farkında olmadan zararlı yükleri çalıştırmasına neden oluyor. Özellikle Microsoft yönetim araçlarını aktif kullanan kurumlar için ciddi bir risk oluşturuyor.
.MSC EvilTwin Saldırı Nasıl Gerçekleşiyor?
- Komut çalıştırma için Shockwave Flash nesnesi içeren .msc dosyaları hazırlanıyor.
- Sahte dizin yolları (örneğin:
C:\Windows\System32gibi boşluk içeren) oluşturularak yazılımlar kandırılıyor. - Dijital olarak imzalanmış sahte MSI yükleyiciler ile (örneğin DingTalk gibi görünen) kötü amaçlı yazılım dağıtılıyor.
Kısaca Ne Oluyor?
Zararsız gibi görünen yönetim araçları, aslında sistemin arka kapısını açıyor. Kurban sistemler sessizce ele geçiriliyor. Trend Micro’nun Zero Day Initiative (ZDI) aracılığıyla Microsoft’a bildirdiği bu açık için 11 Mart 2025’te bir güvenlik yaması yayımlandı.
MSC EvilTwin Gibi Güvenlik Açıklıklarından Korunmak İçin Ne Yapmalı?
MSC EvilTwin güvenlik açığı gibi saldırılara karşı şu önlemleri almalısınız:
✅ Microsoft’un yayımladığı yamayı (11 Mart) derhal yüklenmeli bu atlanmamalı kesinlikle.
✅ Otomatik güncellemelerin açık olduğundan emin olmakta kesinlikle fayda var.
✅ .msc dosyalarının çalışmasını Application Control araçları (AppLocker, WDAC) ile sınırlandırın.
✅ FIM (Dosya Bütünlüğü İzleme) araçlarıyla sistemde oluşturulan .msc dosyalarını takip etmekte fayda var.
✅ MUIPath veya şüpheli MMC davranışlarını SIEM sisteminizle izleyin.
✅ MSI yükleyicileri dijital imza kontrolüyle doğrulamak iyidir.
✅ MMC araçlarına yalnızca yetkili kullanıcıların erişimini sağlamak iyi.
✅ Bilinmeyen yazılımların komut çalıştırmasına izin vermeyin.
Sonuç:
MSC EvilTwin güvenlik açığı, zararsız görünen Windows yönetim araçlarını silaha çeviriyor. Bu saldırı, görünürde masum dosyaların ardına saklanan karmaşık bir yapıya sahip. Sistemlerinizi korumak için mutlaka en güncel yamaları uygulayın ve yetkisiz dosya çalıştırmalara karşı sisteminizi izleyin.
Daha fazla gündem haberlerine buradan ulaşabilirsiniz.
Leave a Comment