Chaotic Eclipse'ten Yeni Windows Zero-Day: LegacyHive, Tam Güncellenmiş Sistemleri Tehdit Ediyor Windows

Chaotic Eclipse'ten Yeni Windows Zero-Day: LegacyHive, Tam Güncellenmiş Sistemleri Tehdit Ediyor

Chaotic Eclipse, Windows User Profile Service'teki LegacyHive adlı zero-day ayrıcalık yükseltme açığını yayınladı. Tam güncellenmiş sistemler risk alt

Microsoft’un Temmuz 2026 Patch Tuesday güncellemelerinin hemen ardından, güvenlik araştırmacısı Nightmare Eclipse (Chaotic Eclipse olarak da bilinir) LegacyHive adlı yeni bir Windows zero-day proof-of-concept (PoC) yayınladı. Bu kez hedef, Windows User Profile Service (ProfSvc). Microsoft’un bu ay düzelttiği yüzlerce güvenlik açığının aksine, bu açığın henüz bir CVE numarası, resmi bir danışmanlık bildirimi veya güvenlik güncellemesi bulunmuyor. LegacyHive, yerel bir ayrıcalık yükseltme (privilege escalation) güvenlik açığı olarak sınıflandırılıyor.

Bu zafiyet, standart bir kullanıcı olarak kod çalıştırma yetkisine sahip bir saldırganın, User Profile Service'i kötüye kullanarak başka bir kullanıcının (örneğin yerel bir yöneticinin) kayıt defteri kovanını (registry hive) kendi profili altına yüklemesine olanak tanıyor. Bu durum, korunması gereken kayıt defteri verilerine erişimin önünü açıyor ve uygun koşullar altında ayrıcalık yükseltmeye yardımcı olabiliyor. Her ne kadar uzaktan kod çalıştırma (RCE) olmasa da, ayrıcalık yükseltme modern saldırı zincirlerinin en değerli yapı taşlarından biri olarak kabul ediliyor.

Araştırmacının genel deposunda yer alan açıklamaya göre, PoC'nin çalışması için başka bir standart kullanıcının kimlik bilgileri ve üçüncü bir kullanıcı adı (bir yönetici hesabı olabilir) gerekiyor. Başarılı olması durumunda, hedef kullanıcının kovanı mevcut kullanıcının sınıflar köküne (classes root) monte ediliyor. Araştırmacı, PoC'yi kamuya açık istismarı önlemek amacıyla kırptığını; orijinal PoC'nin ek kullanıcı kimlik bilgisi gerektirmediğini ve usrclass.dat kovanı ile sınırlı olmadığını, herhangi bir kovanın yüklenebileceğini ancak bunun için daha fazla zeka gerektiğini belirtiyor.

Sistem Güvenliği

Proof-of-concept'e göre, istismar için birkaç ön koşul bulunuyor. Saldırganın hedef sisteme erişimi, geçerli kullanıcı kimlik bilgileri ve kayıt defteri kovanı monte edilebilecek başka bir yerel kullanıcı profili olması gerekiyor. Bu durum, LegacyHive'ı internet üzerinden kitlesel istismar için uygunsuz kılıyor, ancak saldırganların zaten bir ağın içinde olduğu sızma sonrası (post-compromise) operasyonlar için potansiyel olarak cazip hale getiriyor. Bu yayın aynı zamanda Nightmare Eclipse ile Microsoft Güvenlik Yanıt Merkezi (MSRC) arasındaki giderek artan kamuoyu tartışmasının bir parçası.

Nisan ayından bu yana araştırmacı, koordineli ifşa (coordinated disclosure) olmaksızın tekrar tekrar Windows zero-day'leri yayınlıyor ve önceki raporlarının yanlış ele alındığını, araştırmacılara gereken kredinin verilmediğini iddia ediyor. Bu ifşalardan bazıları daha sonra yamalanırken, bazılarının düzeltmeler yayınlanmadan önce istismar edildiği bildirildi. 10 Haziran'da Chaotic Eclipse, BitLocker'ı atlayarak Windows Kurtarma Modu'nda tam SYSTEM yetkileriyle bir komut kabuğu açan GreatXML adlı yeni bir çalışan istismar yayınladı. Bu, Microsoft Defender'ı hedef alan ve yerel ayrıcalık yükseltmeye yol açan RoguePlanet istismarından bir gün sonra geldi.

Gelecekte Ne Bekleniyor?

Chaotic Eclipse ayrıca BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) ve RedSun (CVE-2026-41091) zero-day'lerini de ifşa etti. Bu ifşaların, araştırmacının Microsoft ile güvenlik açığı bildirim süreci konusundaki anlaşmazlığından kaynaklandığı düşünülüyor. Mayıs ayında araştırmacı, YellowKey ve GreenPlasma adlı iki Windows zero-day güvenlik açığını daha ifşa etti. YellowKey, BitLocker korumalarını atlatmaya olanak tanırken, GreenPlasma ayrıcalık yükseltme sağlıyor. Araştırmacı, MSRC hesabına erişimin iptal edildiğini, raporlarının reddedildiğini ve tazminat sağlanmadığını eleştirdi.

Mayıs ayının sonunda, Microsoft'un Güvenlik Yanıt Merkezi (MSRC) bu zero-day ifşalarını sorumsuzluk olarak nitelendirdi. Microsoft, güvenlik ekiplerinin bu ifşalardan bu yana etkiyi anlamak, yamalar oluşturmak ve yayınlanan istismar kodunu alıp kullanan saldırganlardan müşterileri korumak için aralıksız çalıştığını belirtti. Microsoft, Koordineli Güvenlik Açığı İfşası (CVD) sürecini savunurken, araştırmacıyla iş birliği yapmaya ve sorunu çözmeye hazır olduğunu ifade etti. Ancak Chaotic Eclipse'in eylemleri, güvenlik topluluğunda ifşa süreçlerinin ne zaman ve nasıl yapılması gerektiği konusundaki tartışmaları yeniden alevlendirdi.

Detaylar ve Etkileri

Sonuç olarak, LegacyHive gibi zero-day açıklarının kamuya ifşa edilmesi, hem güvenlik araştırmacıları hem de kurumlar için önemli riskler oluşturuyor. Özellikle tam güncellenmiş sistemleri etkileyen bu tür açıklar, saldırganlar için değerli bir araç haline gelebilir. Kullanıcıların ve kuruluşların, güvenlik açıklarına karşı dikkatli olmaları, en az ayrıcalık ilkesini uygulamaları ve güvenlik güncellemelerini düzenli olarak takip etmeleri büyük önem taşıyor. Microsoft'un bu açığa yönelik bir yama yayınlayıp yayınlamayacağı ve araştırmacıyla olan anlaşmazlığın nasıl çözüleceği ise merak konusu.

Kaynak: securityaffairs.com

Paylaş: