Microsoft, Office ürünlerinde bulunan ve CVE-2026-21509 olarak takip edilen önemli bir güvenlik açığı için acil bir güncelleme yayımladı. Bu zafiyet, Office uygulamalarında güvenilmeyen girdilere dayanan bir güvenlik kararının atlatılmasına izin vererek, yetkisiz saldırganların yerel olarak güvenlik önlemlerini aşmasına olanak sağlıyor.
Saldırının Genel Çerçevesi
Zafiyet, Microsoft 365 ve Office uygulamalarındaki OLE (Object Linking and Embedding) hafifletmelerini atlatıyor. Saldırganlar, özel olarak hazırlanmış Office dosyalarını hedef kullanıcılara göndererek onları açmaya ikna etmeye çalışıyor. Başarılı bir sömürü, kullanıcının dosyayı açmasıyla gerçekleşiyor. İlginç bir şekilde, Önizleme Bölmesi bu saldırı vektöründe kullanılmıyor.
Hangi Sistemler Risk Altında?
Microsoft Office 2021 ve sonrası sürümler, hizmet tarafında yapılan değişikliklerle otomatik olarak korunuyor; ancak kullanıcıların Office uygulamalarını yeniden başlatması gerekiyor. Office 2016 ve 2019 sürümleri ise manuel olarak aşağıdaki güncellemelerle korunmalı:
- Office 2019 (32-bit ve 64-bit) – 16.0.10417.20095
- Office 2016 (32-bit ve 64-bit) – 16.0.5539.1001
Bu yamalar, COM/OLE kontrollerinden kaynaklanan zafiyeti gideriyor ve saldırganların bu kontrolleri atlatmasını engelliyor.
Alınabilecek Önlemler
Microsoft, kullanıcıların Windows Kayıt Defteri üzerinde belirli değişiklikler yaparak ek bir koruma katmanı oluşturmasını öneriyor. Bu adımlar şunları içeriyor:
- Kayıt Defteri’nin yedeğinin alınması
- Tüm Office uygulamalarının kapatılması
- Kayıt Defteri Düzenleyicisi’nde ilgili COM Compatibility anahtarlarının bulunması
- Yeni bir alt anahtar olarak
{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}eklenmesi - Bu anahtar altında “Compatibility Flags” adlı REG_DWORD değerinin 0x400 olarak ayarlanması
- Değişikliklerin ardından Office uygulamasının yeniden başlatılması
Saldırı Zinciri ve Teknik Detaylar
Bu zafiyet, MITRE ATT&CK matrisinde T1204 (Kullanıcı Etkileşimi) ve T1203 (Güvenlik Özelliği Atlatma) tekniklerine karşılık gelmektedir. Saldırı zinciri genel olarak şu adımlardan oluşur:
- Hedefe özel hazırlanmış kötü amaçlı Office dosyasının gönderilmesi (phishing veya sosyal mühendislik yoluyla)
- Kullanıcının dosyayı açması ve Office’in OLE hafifletmelerinin atlatılması
- Yerel güvenlik önlemlerinin aşılmasıyla saldırganın kod yürütmesi
Bu tür saldırılar, özellikle e-posta güvenliği önlemleri zayıf olan kurumlarda fidye yazılımı ve veri sızıntısı riskini artırır.
Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler
- Office 2016 ve 2019 için yayımlanan güncellemeleri acilen uygulayın.
- Office 2021 ve sonrası sürümlerde uygulamaların yeniden başlatılmasını sağlayın.
- Windows Kayıt Defteri’nde belirtilen COM Compatibility anahtarlarını kontrol edin ve gerekirse manuel değişiklik yapın.
- EDR çözümlerinde OLE ve COM kontrol atlatma tekniklerine karşı özel kurallar oluşturun.
- SIEM sistemlerinde Office dosyası açma ve COM/OLE ile ilgili anormal davranışları izleyin.
- Kullanıcıları bilinmeyen kaynaklardan gelen Office dosyalarını açmamaları konusunda eğitin.
- Multi-Factor Authentication (MFA) ve ağ segmentasyonu ile saldırganların lateral hareketini zorlaştırın.
- Olay müdahale (incident response) planlarını güncelleyerek bu tür zafiyetlerin sömürülmesi durumunda hızlı aksiyon alınmasını sağlayın.
Regülasyon ve Uyumluluk Boyutu
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu zafiyeti Bilinen Sömürülmüş Zafiyetler (KEV) kataloğuna ekleyerek, Federal Sivil Yürütme Dalları (FCEB) kurumlarının 16 Şubat 2026 tarihine kadar yamaları uygulamasını zorunlu kıldı. Bu durum, özellikle kamu kurumları ve kritik altyapı operatörleri için uyumluluk açısından önem taşıyor.