Son dönemde ortaya çıkan yeni bir Microsoft Defender sıfırıncı gün (zero-day) zafiyeti, güncel Windows 10 ve 11 sistemlerinde SYSTEM seviyesinde yetki kazanılmasına olanak tanıyor. Bu zafiyet, özellikle masaüstü işletim sistemlerinde Haziran 2026 yaması yüklü makinelerde doğrulanmış durumda.
Saldırının Genel Çerçevesi
Zafiyet, bir yarış durumu (race condition) olarak tanımlanıyor ve istismar edilmesi bazı sistemlerde %100 başarı sağlarken, bazı makinelerde başarısız olabiliyor. Başarılı istismar sonucunda saldırgan, sistem üzerinde rastgele kod çalıştırma ve yetkisiz işlemler yapma imkânı elde ediyor.
Ancak mevcut haliyle bu istismar yöntemi Windows Server sürümlerinde çalışmıyor çünkü standart kullanıcıların ISO imajlarını bağlama yetkisi bulunmuyor. Güvenlik araştırmacısı, Windows Server için istismar yönteminin yeniden tasarlanması gerektiğini belirtiyor.
Hangi Sistemler Risk Altında?
Testler, Windows 10 ve 11 işletim sistemlerinin Haziran 2026 yaması sonrası sürümlerinde yapılmış. Bu da, sistemlerini güncel tutan kullanıcıların ve kurumların doğrudan risk altında olduğu anlamına geliyor. Sunucu sistemleri ise şu an için doğrudan etkilenmiyor ancak zafiyetin varlığı nedeniyle ileride risk oluşturabilir.
Saldırı Zinciri ve Teknik Detaylar
- İstismar, Microsoft Defender bileşeninde bulunan bir yarış durumu zafiyetine dayanıyor.
- Başlangıçta yerel kullanıcı haklarıyla ISO imajı bağlanarak SYSTEM yetkisi elde ediliyor.
- Bu yetki sayesinde saldırgan, zararlı kodları Defender süreçleri içinde çalıştırabiliyor ve sistem kontrolünü ele geçirebiliyor.
- Bu zafiyet, daha önce ortaya çıkan BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) ve RedSun (CVE-2026-41091) gibi Defender açıklarının devamı niteliğinde.
Siber Güvenlik Ekipleri İçin Öneriler
- Windows 10 ve 11 sistemlerde Haziran 2026 yaması sonrası Defender bileşenlerinin davranışlarını yakından izleyin.
- EDR ve SIEM çözümlerinizde Defender süreçlerine yönelik anormal davranışları tespit edecek kurallar oluşturun.
- Yerel kullanıcıların ISO imajı bağlama yetkilerini kısıtlayarak saldırı yüzeyini azaltın.
- Güvenlik duvarı ve ağ segmentasyonu ile kritik sistemlere erişimi sınırlandırın.
- Olay müdahale planlarınızı güncelleyerek Defender kaynaklı zafiyet istismarlarına karşı hazırlıklı olun.
- Multi-Factor Authentication (MFA) ve Zero Trust prensiplerini uygulayarak yetkisiz erişim riskini azaltın.
İstismar ve Kamuoyu İlişkisi
Bu zafiyetin kamuya açıklanması, araştırmacı ile Microsoft arasındaki iletişim kopukluğuna dayanan anlaşmazlıkların sonucu olarak değerlendiriliyor. Araştırmacı, Microsoft’un güvenlik raporlama süreçlerini yetersiz bulduğunu ve erişim haklarının haksız şekilde kaldırıldığını belirtti. Microsoft ise kamuya açık zafiyet açıklamalarının müşterileri gereksiz risklere maruz bıraktığını savunuyor.
Bu anlaşmazlık, araştırmacının GitHub ve GitLab hesaplarının kapatılmasıyla sonuçlandı. Güvenlik topluluğunda ise bu durum, yazılım güvenliği ve koordineli zafiyet açıklama süreçlerinin önemini bir kez daha gündeme getirdi.
Teknik Özet
- Zararlı Araçlar ve Varyantlar: Yarış durumu istismarı, Defender bileşeninde bellek bozulması zafiyetleri.
- Hedef Sistemler: Windows 10 ve 11 masaüstü sürümleri, güncel Haziran 2026 yamaları yüklü.
- CVE Referansları: CVE-2026-33825 (BlueHammer), CVE-2026-45498 (UnDefend), CVE-2026-41091 (RedSun).
- Saldırı Zinciri: Yerel kullanıcı ISO bağlama → Yarış durumu istismarı → SYSTEM yetkisi → Zararlı kod çalıştırma.
- Temel Savunma: Güncellemelerin takip edilmesi, kullanıcı yetkilerinin sınırlandırılması, EDR ve SIEM ile anomali tespiti, ağ segmentasyonu ve MFA uygulamaları.
Bu zafiyetler, özellikle Defender gibi kritik güvenlik bileşenlerinde ortaya çıktığı için, kurumların e-posta güvenliği, fidye yazılımı saldırılarına karşı koruma ve bulut güvenliği stratejilerini gözden geçirmeleri önem taşıyor. Ayrıca, ağ segmentasyonu ve olay müdahale süreçlerinin etkinliği, olası saldırıların erken tespiti ve etkisiz hale getirilmesinde kritik rol oynayacaktır.