CVE-2025-9491 (ZDI-CAN-25373) Windows LNK Güvenlik Açığı

Giriş: Görünmez Komutların Tehlikesi

Siber casusluk grupları (APT’ler), hedeflenen kurumlara sızmak için sürekli olarak en gizli ve yamasız (unpatched) zafiyetleri kullanır. Kritik bir Windows LNK (Kısayol Dosyası) işleme zafiyeti olan CVE-2025-9491 (ZDI-CAN-25373), tam olarak bu amaca hizmet etmektedir. Bu zafiyet, kötü amaçlı komut satırı argümanlarını standart Windows kullanıcı arayüzünde (UI) gizleyerek, savunma mekanizmalarını ve kullanıcıları tamamen atlatmaya olanak tanır.

Bu makale, CVE-2025-9491’in teknik yapısını, aktif sömürüsünü ve bu kritik sıfır gün (zero-day) benzeri tehdide karşı CUMBUR.NET okuyucularının nasıl korunacağını detaylandırmaktadır.

🔍 Zafiyetin Teknik Özü: Neden Görünmez?

Zafiyetin Kaynağı (CVE-2025-9491 / ZDI-CAN-25373)

Bu kritik zafiyetin temelinde, Windows’un LNK dosyalarındaki (Kısayol) Target (Hedef) alanını işleme biçimindeki bir kusur yatmaktadır.

• Gizleme Mekanizması: Saldırganlar, LNK dosyasının COMMAND_LINE_ARGUMENTS yapısına, komutlardan önce veya aralarına aşırı miktarda boşluk karakteri (whitespace) (örneğin Space 0x20, Horizontal Tab 0x09, Carriage Return 0x0D vb.) ekler.
• Kullanıcı Arayüzü Yanıltması (UI Misrepresentation): Windows, LNK dosyasının özellikler penceresinde bu kadar uzun argümanları düzgün bir şekilde görüntüleyemez. Sonuç olarak, tehlikeli komutlar pencerede gözükmez, kullanıcıya yalnızca zararsız bir dosya veya argüman varmış gibi gösterilir.
• Sonuç: Kullanıcı kısayola tıkladığında, Windows bu gizli ve kötü amaçlı komutları arka planda tam yetkiyle çalıştırır.

Microsoft’un Pozisyonu

Zafiyet, ZDI (Zero Day Initiative) tarafından Eylül 2024’te Microsoft’a bildirilmesine rağmen, Microsoft bu durumu güvenlik yaması (patch) gerektiren bir durum olarak görmeyi reddetmiş, kriterlerine uymadığını belirtmiştir. Bu durum, zafiyetin hala yamasız (unpatched) bir tehdit olarak kalmasına neden olmuştur.

💣 Aktif Sömürü ve Saldırı Zinciri (PlugX RAT)

Bu zafiyetin keşfi 2025 yılında kamuoyuna duyurulsa da, Rusya, Çin, İran ve Kuzey Kore kaynaklı APT grupları tarafından 2017’den beri aktif olarak siber casusluk operasyonlarında kullanıldığı tespit edilmiştir.

Güncel Kampanya (UNC6384)

• Atıf (Attribution): UNC6384 olarak bilinen tehdit aktörü tarafından yürütülmektedir.
• Hedefler: Eylül-Ekim 2025 döneminde, Avrupa Birliği’ndeki diplomatik misyonlar (Macaristan, Belçika, İtalya, Hollanda) ve Sırbistan hükümetinin havacılık departmanları hedef alınmıştır.
• Vektör: Oltalama (Spearphishing) e-postaları kullanılarak, kurbanları NATO seminerleri veya AB Komisyonu toplantıları gibi güncel diplomatik konularla ilgili sahte bir LNK dosyasını açmaya teşvik eder.
• Saldırı Zinciri Aşamaları:
  1. LNK Dosyasının Yürütülmesi: Kurbanın tıklamasıyla gizli PowerShell komutu çalıştırılır.
  2. PowerShell Obfuskasyonu: Gizlenen PowerShell komutu, zararlı kodu indirir ve çalıştırır.
  3. DLL Side-Loading: Saldırının son aşamasında, yasal olarak imzalanmış Canon yazıcı yardımcı programları (cnmpaui.exe, cnmpauix.exe) gibi meşru ikili dosyalar kullanılarak PlugX RAT (Uzaktan Erişim Truva Atı) sisteme sızdırılır. PlugX RAT, uzun süredir kullanılan gelişmiş bir siber casusluk aracıdır.
  4. C2 İletişimi: Zararlı yazılım, komuta ve kontrol (C2) iletişimini CloudFront CDN altyapısı üzerinden gerçekleştirir.

🛑 Nasıl Kapatılır ve Korunulur? (Mitigation)

Microsoft resmi bir yama yayınlamadığı için, kuruluşların bu riski azaltmak için katı ağ ve uç nokta güvenlik kontrollerini uygulaması gerekmektedir.

1. Ağ ve E-posta Önlemleri

• LNK Dosya Engelleme: E-posta ağ geçidinde (gateway) ve ağ çevresinde (perimeter) LNK dosyalarının girişini tamamen engelleyin. Kullanıcıların kısayol dosyalarını e-posta ekleri olarak almasını önleyin.
• Spearphishing Eğitimi: Çalışanlara, olağandışı e-posta ekleri (özellikle LNK veya arşivlenmiş LNK içerenler) ve güncel olaylarla ilgili cazip e-posta konuları hakkında sürekli farkındalık eğitimi verin.

2. Uç Nokta Tespit ve Yanıt (EDR) Stratejileri

• Anormal PowerShell İzleme: LNK dosyaları tarafından başlatılan ve aşırı derecede uzun, gizlenmiş (obfuscated) veya beklenmedik bağımsız değişkenler içeren PowerShell işlemlerini tespit etmek için EDR (Endpoint Detection and Response) kuralları oluşturun.
• DLL Side-Loading Kontrolü: cnmpaui.exe veya cnmpauix.exe gibi yasal Canon yürütülebilir dosyalarından bilinmeyen veya kötü amaçlı DLL’lerin yüklenmesini izleyin ve engelleyin. Bu, zararlı PlugX RAT’ın dağıtımını önler.
• Windows Smart App Control: Microsoft, bu saldırıya karşı Smart App Control özelliğinin etkinleştirilmesini önermektedir. Bu kontrolün uygunluğunu değerlendirin ve uygulayın.

3. IOC İzleme ve Engelleme