Chaotic Eclipse'den Yeni Windows Zero-Day: LegacyHive ile Tam Güncellenmiş Sistemlerde Yetki Yükseltme Siber Güvenlik

Chaotic Eclipse'den Yeni Windows Zero-Day: LegacyHive ile Tam Güncellenmiş Sistemlerde Yetki Yükseltme

Chaotic Eclipse, Windows User Profile Service'te (ProfSvc) keşfettiği ve tam güncellenmiş sistemleri etkileyen LegacyHive adlı yetki yükseltme açığını

Microsoft'un Temmuz 2026 Patch Tuesday güncellemelerinden sadece saatler sonra, güvenlik araştırmacısı Nightmare Eclipse (Chaotic Eclipse olarak da bilinir) LegacyHive adlı yeni bir Windows zero-day proof-of-concept (PoC) yayınladı. Bu kez hedef, Windows User Profile Service (ProfSvc). Microsoft'un bu ay düzelttiği yüzlerce güvenlik açığının aksine, bu açık için henüz bir CVE numarası, danışma belgesi veya güvenlik güncellemesi bulunmuyor.

LegacyHive, yerel bir yetki yükseltme (privilege escalation) güvenlik açığıdır. Standart bir kullanıcı olarak kod çalıştırma yetkisine sahip bir saldırgan, User Profile Service'i kötüye kullanarak başka bir kullanıcının (örneğin yerel bir yöneticinin) kayıt defteri kovanını (registry hive) kendi profiline yükleyebilir. Bu, korunması gereken kayıt defteri verilerine erişim sağlar ve uygun koşullar altında yetki yükseltmeye olanak tanır. Her ne kadar uzaktan kod çalıştırma (remote code execution) açığı olmasa da, yetki yükseltme modern saldırı zincirlerinde en değerli yapı taşlarından biridir.

Araştırmacının genel deposunda yayınladığı bilgilere göre, "PoC, başka bir standart kullanıcı kimlik bilgisi ve üçüncü bir kullanıcı adı (bir yönetici hesabı olabilir) gerektirir. PoC başarılı olursa, hedef kullanıcı kovanını geçerli kullanıcı sınıfları köküne (current user classes root) bağlar." Açıklamada ayrıca orijinal PoC'nin ek kullanıcı kimlik bilgisi gerektirmediği ve yalnızca usrclass.dat kovanıyla sınırlı olmadığı, herhangi bir kovanın yüklenebileceği belirtiliyor. Ancak araştırmacı, PoC'yi kötüye kullanımı önlemek için sadeleştirdiğini ifade ediyor.

Proof-of-concept'e göre, bu açığın istismar edilmesi için birkaç ön koşul gerekiyor: Saldırganın hedef sisteme erişimi olmalı, geçerli kullanıcı kimlik bilgilerine sahip olmalı ve kayıt defteri kovanı yüklenebilecek başka bir yerel kullanıcı profili bulunmalıdır. Bu nedenle LegacyHive, internet üzerinden kitlesel istismar için uygun değil; ancak saldırganların ağ içinde zaten bulunduğu post-compromise operasyonlarında cazip bir araç olabilir.

Teknik Analiz

Bu yayın, aynı zamanda Nightmare Eclipse ile Microsoft Güvenlik Yanıt Merkezi (MSRC) arasındaki giderek kamuya açılan anlaşmazlığın bir parçası. Araştırmacı, Nisan ayından bu yana koordineli ifşa (coordinated disclosure) olmaksızın Windows zero-day açıklarını yayınlıyor. Daha önceki raporlarının yanlış ele alındığını ve araştırmacıların düzgün şekilde kredilendirilmediğini iddia ediyor. Bu önceki ifşalardan bazıları daha sonra yamalandı, bazılarının ise düzeltmeler yayınlanmadan önce istismar edildiği bildirildi.

Sistem Güvenliği

Geçtiğimiz haftalarda Chaotic Eclipse, RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), BlueHammer (CVE-2026-33825), YellowKey ve GreenPlasma dahil olmak üzere birçok zero-day açığı yayınladı. Bu açıklar BitLocker, Microsoft Defender ve Windows Collaborative Translation Framework (CTFMON) gibi kritik bileşenleri hedef alıyor. Araştırmacı, Microsoft'un MSRC hesabına erişimini iptal etmesini, raporlarını reddetmesini ve tazminat sağlamamasını eleştiriyor. Microsoft ise bu ifşaları sorumsuzca olarak nitelendiriyor ve koordineli güvenlik açığı ifşasının önemini vurguluyor.

Microsoft, güvenlik ekiplerinin bu ifşalardan bu yana açıkların etkisini anlamak, yamalar oluşturmak ve yayınlanan istismar kodunu kullanan saldırganlara karşı müşterileri korumak için yoğun şekilde çalıştığını belirtti. Şirket, koordineli güvenlik açığı ifşasının, araştırmacıların özel olarak bildirimde bulunması, düzeltme için süre tanınması ve ardından kamuya açıklanması standardını savunuyor. Ancak bu son açıklamalar, bu süreci atlayarak gerçek kullanıcıları risk altına sokuyor. LegacyHive'in henüz bir yaması olmadığı için, Windows kullanıcılarının en azından yerel erişim kontrollerini sıkılaştırması ve gereksiz kullanıcı hesaplarını kaldırması önem taşıyor.

Kaynak: securityaffairs.com

Paylaş: