LegacyHive Açığı: Tam Güncellemeli Windows Sistemlerini Tehdit Eden Yeni Bir Ayrıcalık Yükseltme Zaafiyeti Siber Güvenlik

LegacyHive Açığı: Tam Güncellemeli Windows Sistemlerini Tehdit Eden Yeni Bir Ayrıcalık Yükseltme Zaafiyeti

Chaotic Eclipse, tam güncellemeli Windows sistemlerinde çalışan LegacyHive adlı yeni bir ayrıcalık yükseltme açığını yayımladı. Microsoft'un Temmuz 20

Microsoft'un Temmuz 2026 Patch Tuesday güncellemelerinin yayımlanmasından sadece saatler sonra, güvenlik araştırmacısı Nightmare Eclipse (Chaotic Eclipse olarak da bilinir) LegacyHive adında yeni bir Windows zero-day proof-of-concept (PoC) yayımladı. Bu kez hedef, Windows Kullanıcı Profili Hizmeti (ProfSvc). Microsoft'un bu ay düzelttiği yüzlerce güvenlik açığının aksine, bu açık için henüz bir CVE numarası, danışma yazısı veya güvenlik güncellemesi bulunmuyor.

LegacyHive, yerel bir ayrıcalık yükseltme güvenlik açığıdır. Standart bir kullanıcı olarak kod çalıştırma yetkisine sahip bir saldırgan, Kullanıcı Profili Hizmeti'ni kötüye kullanarak başka bir kullanıcının (örneğin yerel yönetici) kayıt defteri kovanını kendi profili altına yükleyebilir. Bu, korunması gereken kayıt defteri verilerine erişim sağlar ve uygun koşullar altında ayrıcalık yükseltmeye yardımcı olabilir. Uzaktan kod çalıştırma açığı olmasa da, ayrıcalık yükseltme modern saldırı zincirlerinin en değerli yapı taşlarından biridir.

Araştırmacının genel deposuna göre, 'PoC, başka bir standart kullanıcının kimlik bilgilerini ve üçüncü bir kullanıcı adını (yönetici hesabı olabilir) gerektiriyor. PoC başarılı olursa, hedef kullanıcı kovanını geçerli kullanıcı sınıfları köküne bağlar.' Orijinal PoC ek kullanıcı kimlik bilgisi gerektirmiyordu ve usrclass.dat kovanıyla sınırlı değildi; herhangi bir kovan yüklenebiliyordu. Ancak araştırmacı, bunu yapacak 'beyin hücrelerine' sahip olunması gerektiğini belirtiyor.

Proof-of-concept'e göre, istismar için birkaç ön koşul gerekiyor. Saldırganın zaten hedef sisteme erişimi, geçerli kullanıcı kimlik bilgileri ve kayıt defteri kovanı yüklenebilecek başka bir yerel kullanıcı profili olmalıdır. Bu, LegacyHive'ı internet üzerinden kitlesel istismar için uygunsuz kılar, ancak saldırganların zaten ağ içinde olduğu post-istismar operasyonları için potansiyel olarak çekici hale getirir.

Sistem Güvenliği

Bu yayın, Nightmare Eclipse ile Microsoft'un Güvenlik Yanıt Merkezi (MSRC) arasındaki giderek artan kamuoyu anlaşmazlığını da sürdürüyor. Nisan ayından bu yana araştırmacı, koordineli ifşa olmaksızın tekrar tekrar Windows zero-day'leri yayımlıyor ve önceki raporların yanlış ele alındığını ve araştırmacıların uygun şekilde kredilendirilmediğini iddia ediyor. Bu ifşalardan bazıları daha sonra yamalandı, bazıları ise düzeltmeler yayımlanmadan önce istismar edildi.

Chaotic Eclipse daha önce de GreatXML (BitLocker atlatma), RoguePlanet (Microsoft Defender ayrıcalık yükseltme), BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) ve RedSun (CVE-2026-41091) gibi zero-day'leri yayımlamıştı. Araştırmacı, MSRC hesabına erişimin iptal edilmesi, raporlarının reddedilmesi ve tazminat sağlanamaması nedeniyle Microsoft'u eleştiriyor. Microsoft ise bu ifşaları sorumsuzca olarak nitelendiriyor ve koordineli güvenlik açığı ifşasının önemini vurguluyor.

Microsoft, güvenlik ekiplerinin bu ifşalardan bu yana etkiyi anlamak, yamalar oluşturmak ve yayımlanan istismar kodunu kullanan saldırganlardan müşterileri korumak için gece gündüz çalıştığını belirtiyor. Şirket, Koordineli Güvenlik Açığı İfşası (CVD) sürecini savunuyor ve araştırmacılarla yılda yüzlerce kez bu şekilde çalıştıklarını, onları hata ödül programlarıyla ödüllendirdiklerini ve kamuoyunda kredilendirdiklerini ifade ediyor.

Kaynak: securityaffairs.com

Paylaş: