Güvenlik Uyarısı: Microsoft Bulut Hizmetlerinde 10/10 Güvenlik Açığı;
Azure güvenlik açıkları Microsoft bulutunun kalbine saldırıyor ve benzersiz bir vaka en yüksek kritiklik derecesine ulaştı. Redmond merkezli şirketin temel bulut hizmetlerini etkileyen dört güvenlik açığından biri, Common Vulnerability Scoring System'da 10/10 gibi mükemmel bir puan aldı. İyi haber şu ki, bu güvenlik açıklarının hiçbiri saldırganlar tarafından aktif olarak kullanılmadı veya daha önce kamuoyuna açıklanmadı. Ayrıca Microsoft, son kullanıcıların herhangi bir müdahalesine ihtiyaç duymadan, gerekli tüm düzeltici önlemleri kendi başına uygulamıştır.
Bulut güvenliği ortamı, Microsoft hizmetlerindeki bu dört kritik güvenlik açığının keşfedilmesiyle sarsıldı. En yüksek puanı 10/10 olan açığın yanı sıra, iki güvenlik açığı 9.9 gibi son derece yüksek bir puana ulaşırken, sonuncusu hala endişe verici olan 9.1'de durdu. Bunlardan her biri, istismar edildiğinde önemli bir güvenlik riski oluşturabilirdi.
CVE-2025-29813 olarak tanımlanan en ciddi güvenlik açığı, Azure DevOps'u potansiyel ayrıcalık yükseltme riskiyle etkiledi. Sorun, Visual Studio'nun boru hattı belirteçlerini uygunsuz şekilde işlemesi nedeniyle ortaya çıktı ve bu durum bir saldırganın bir projeye erişimini genişletmesine olanak tanıyabilirdi. Microsoft'a göre bu güvenlik açığından faydalanmak için bir saldırganın öncelikle projeye erişim sağlaması ve kısa vadeli token'ı uzun vadeli olanla değiştirmesi gerekiyor.
İkinci en ciddi güvenlik açığı (CVE-2025-29972) 9,9 puanla Azure Depolama Kaynak Sağlayıcısı'nı etkiledi. Bu, yetkili bir saldırganın meşru hizmetleri ve kullanıcıları taklit ederek kötü amaçlı istekler sunarak ağı taklit etmesine olanak sağlayabilecek bir sunucu tarafı istek sahteciliği açığıydı.
En az Azure Automation'ı etkileyen ve puanı 9,9 olan CVE-2025-29827 ise en az onun kadar endişe vericiydi. Uygunsuz bir yetkilendirme sorunundan kaynaklanan bu güvenlik açığı, bir saldırganın ağ genelinde ayrıcalıkları yükseltmesine ve potansiyel olarak tüm altyapıyı tehlikeye atmasına olanak tanıyabilirdi.
Son olarak, puanı 9.1 olan CVE-2025-47733 güvenlik açığı Microsoft Power Apps'i etkiledi. Diğerlerinden farklı olarak bu kusur, bir saldırganın yine sunucu taraflı istek sahteciliği mekanizmasını kullanarak ağ üzerinden bilgi sızdırmasına olanak tanıyabilirdi.
Bu bulguların en güven verici yanı ise tüm güvenlik açıklarının kamuoyuna açıklanmadan önce Microsoft tarafından tamamen ortadan kaldırılmış olması. Şirketin her bir güvenlik açığı için belirttiği gibi bu güvenlik açığı Microsoft tarafından zaten tamamen giderildi. Bu hizmeti kullananlardan herhangi bir işlem yapılması gerekmiyor.
Bu yaklaşım bulut güvenliği yönetiminde önemli bir değişimi temsil ediyor. Geçmişte bulut sağlayıcıları, müşteri eylemi gerekmediği sürece şirket içinde bulunan ve düzeltilen güvenlik açıkları hakkında bilgi ifşa etme eğiliminde değildi. Microsoft Güvenlik Yanıt Merkezi, dahili olarak düzeltildikten sonra bulut hizmetlerinin Ortak Güvenlik Açıkları ve Etkilenmeleri (CVE'ler) hakkında ayrıntılı bilgi vererek müşterilere kapsamlı güvenlik açığı bilgileri sağlamaya kendini adamıştır.
Microsoft'un da teyit ettiği gibi, müşterilerin kendilerini korumak için bir yama yüklemeleri veya başka bir işlem yapmaları gerekip gerekmediğine bakılmaksızın, kritik bulut hizmetleri güvenlik açıkları için CVE'ler yayınlayacağız. Bu yeni şeffaflık standardı, bulut ekosisteminin güvenliğinde önemli bir adım ileriyi temsil ediyor ve kullanıcıların, halihazırda azaltılmış olsalar bile, potansiyel riskler hakkında tam olarak bilgilendirilmelerine olanak tanıyor.
