Microsoft Yaması Sonrası Windows’ta Yeni Yetki Yükseltme Açığı ve SharePoint’te Kritik Güvenlik Riskleri

Anasayfa » Microsoft Yaması Sonrası Windows’ta Yeni Yetki Yükseltme Açığı ve SharePoint’te Kritik Güvenlik Riskleri
Microsoft Yaması Sonrası Windows’ta Yeni Yetki Yükseltme Açığı ve SharePoint’te Kritik Güvenlik Riskleri

Microsoft’un Temmuz 2026 yaması yayımlamasının ardından sadece saatler içinde yeni bir Windows sıfır gün açığına dair proof-of-concept (PoC) yayınlandı. Chaotic Eclipse takma isimli güvenlik araştırmacısı, LegacyHive adını verdiği bu yeni istismarın Windows Kullanıcı Profili Hizmeti’nde (ProfSvc) yetki yükseltme zafiyetini hedeflediğini açıkladı.

Saldırının Genel Çerçevesi

LegacyHive, standart bir kullanıcı kimliği ve üçüncü bir kullanıcı adı (yönetici hesabı olabilir) gerektiren, ProfSvc’nin kullanıcı profil hive dosyasını kötüye kullanmasına dayanıyor. Başarılı olursa, hedef kullanıcının hive dosyası, saldırganın bulunduğu oturumda yüklenebiliyor. Araştırmacı, PoC’nin kamuya açık sürümünün istismarı sınırlamak için kısaltıldığını, orijinal açığın ise daha geniş kapsamlı ve ek kimlik bilgisi gerektirmediğini belirtti.

Özellikle dikkat çekeni, bu açığın Windows’un desteklenen tüm masaüstü ve sunucu sürümlerinde, Temmuz 2026 güncellemesi yüklü olsa bile çalışabiliyor olması. Chaotic Eclipse ile Microsoft arasında bu yılın başından beri devam eden anlaşmazlıklar, araştırmacının yamalar yayımlanmadan önce zafiyet detaylarını paylaşmasıyla alevlendi. Bu süreçte Microsoft Defender’daki üç zafiyet aktif olarak hedef alındı.

SharePoint ve Active Directory Federasyonu’nda Kritik Güvenlik Açıkları

Temmuz yaması, toplamda 622 güvenlik açığını giderdi ancak en çok öne çıkanlar arasında SharePoint Server ve Active Directory Federation Services (AD FS) için yetki yükseltme ve uzaktan kod çalıştırma açıklıkları bulunuyor. Özellikle CVE-2026-56164 ve CVE-2026-56155 kodlu zafiyetlerin aktif olarak istismar edildiği kayıtlara geçti. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açıkları kritik kabul ederek federal kurumların yama uygulamasını 17 ve 28 Temmuz’a kadar zorunlu kıldı.

SharePoint sunucularındaki açıklar, yetkisiz saldırganların uzak kod çalıştırmasına, IIS makine anahtarlarını çalmasına ve kötü amaçlı yazılım yaymasına olanak tanıyor. Bu durum, özellikle Internet’e açık SharePoint ortamlarında ciddi bir risk teşkil ediyor. JWT token doğrulama sürecindeki eksiklikler nedeniyle oluşan CVE-2026-55040 numaralı açığın ise doğrulama mekanizmasını baypas ederek saldırganın hedef site üzerinde kullanıcı gibi işlem yapmasına izin verdiği bildirildi.

Sistem Yöneticilerine ve Güvenlik Ekiplerine Öneriler

Bu kadar yoğun ve kritik açıklıkların ortaya çıkması, güvenlik operasyon ekiplerinin ve sistem yöneticilerinin alarmda olması gerektiğini gösteriyor. Öncelikle Temmuz 2026 yaması eksiksiz şekilde uygulanmalı. Ayrıca, SharePoint ve AD FS loglarının detaylı takibi yapılmalı; özellikle anormal kullanıcı aktiviteleri ve yetkisiz erişim denemeleri izlenmeli.

EDR ve SIEM sistemlerinde, ProfSvc ve SharePoint ile ilgili davranışsal uyarılar aktif hale getirilmeli; saldırı zincirlerinin erken tespiti için anomali tespiti önem kazanıyor. Ağ segmentasyonu ve erişim kontrolleri gözden geçirilmeli, mümkünse MFA kullanımı zorunlu kılınmalı. Phishing ve kimlik avı saldırılarına karşı kullanıcı farkındalığı artırılmalı. Ayrıca, saldırganların yetki yükseltme için kullandığı teknikler MITRE ATT&CK matrisinde araştırılarak uygun savunma stratejileri geliştirilmeli.

Teknik Özet

  • Hedeflenen sistemler: Windows 10 ve sonraki masaüstü/sunucu sürümleri, SharePoint Server 2016, 2019 ve Subscription Edition
  • Kullanılan zafiyetler: CVE-2026-56164, CVE-2026-56155, CVE-2026-55040
  • Saldırı türü: Yetki yükseltme, uzaktan kod çalıştırma, yetkisiz erişim
  • Saldırı zinciri: Kullanıcı profili hive dosyasının kötüye kullanımı, JWT token doğrulama bypass, uzak kod çalıştırma ve post-exploitation aktiviteleri (anahtar hırsızlığı, kalıcılık sağlama)
  • Önerilen savunma: Kritik yamaların uygulanması, MFA ve ağ segmentasyonu, kapsamlı log analizi, EDR/SIEM konfigürasyonları

Son raporlar, Microsoft’un yama sürecindeki zorlukların yanı sıra güvenlik açığı yönetiminin karmaşıklığını gözler önüne seriyor. Kurumsal ve kamu altyapılarında bu tür zafiyetlerin risklerine karşı proaktif yaklaşımlar önem taşıyor.