Microsoft Defender'daki Kritik RoguePlanet Açığı (CVE-2026-50656) Kapatıldı Siber Güvenlik

Microsoft Defender'daki Kritik RoguePlanet Açığı (CVE-2026-50656) Kapatıldı

Microsoft, Defender'daki RoguePlanet (CVE-2026-50656) açığını gideren güncellemeyi yayınladı. Yerel ayrıcalık yükseltmesine izin veren bu kritik zafiy

Microsoft, Windows Defender'ın Malware Protection Engine bileşeninde keşfedilen ve 'RoguePlanet' olarak adlandırılan kritik bir güvenlik açığını (CVE-2026-50656) düzelten güncellemeyi yayınladı. CVSS puanı 7.8 olan bu zafiyet, yerel ayrıcalık yükseltmesine (Local Privilege Escalation) izin vererek saldırganların sistem üzerinde yüksek yetkilere erişmesine olanak tanıyordu. Güvenlik araştırmacısı Chaotic Eclipse (Nightmare-Eclipse) tarafından keşfedilen açık, özellikle tam güncel Windows 10 ve Windows 11 sistemlerinde bile başarıyla test edilmişti.

RoguePlanet açığı, Microsoft Defender'ın kötü amaçlı yazılım tarama motoru mpengine.dll'deki bir yarış koşulu (race condition) hatasından kaynaklanıyor. Bu hata, saldırganların SYSTEM seviyesinde ayrıcalıklar elde etmesine ve kod çalıştırmasına olanak tanıyor. Araştırmacı, açığın gerçek zamanlı koruma (real-time protection) devre dışı bırakılsa veya pasif modda çalıştırılsa bile başarıyla istismar edilebildiğini belirtti. Bu durum, Defender'ın koruma mekanizmalarının yetersiz kaldığını gösteriyor.

Microsoft, açığı gidermek için Malware Protection Engine sürüm 1.1.26060.3008'i yayınladı. Bu güncelleme, yalnızca RoguePlanet açığını kapatmakla kalmıyor, aynı zamanda ek güvenlik iyileştirmeleri de içeriyor. Şirket, varsayılan yapılandırmaların otomatik güncellemeleri desteklediğini ve kullanıcıların güncellemelerin düzgün çalıştığından emin olmaları gerektiğini vurguluyor. Enterprise kullanıcıları için de benzer önerilerde bulunuluyor.

Sistem Güvenliği

RoguePlanet, araştırmacı Chaotic Eclipse tarafından keşfedilen dördüncü Defender açığı. Daha önce BlueHammer, UnDefend ve RedSun adlı açıkları da bulan araştırmacı, Microsoft'un bu açıkları hızla kapattığını ancak Defender'da hâlâ başka bellek bozulması (memory corruption) ve güvenlik sorunları bulunduğunu iddia ediyor. Bu durum, Defender'ın güvenlik mimarisinin daha kapsamlı bir revizyona ihtiyacı olabileceğini gösteriyor.

Gelecekte Ne Bekleniyor?

Araştırmacı, RoguePlanet istismarının Windows Server'da çalışmadığını, çünkü standart kullanıcıların ISO imajlarını bağlayamadığını ancak temel zafiyetin server kurulumlarını da etkilediğini belirtiyor. Farklı bir istismar yöntemi kullanıldığında server sistemlerinin de risk altında olabileceği uyarısında bulunuyor. Ayrıca, PoC'nin (Proof of Concept) yeniden tasarlanması durumunda %100 başarı oranına ulaşılabileceğini ancak kendisinin bu açıkla artık ilgilenmediğini ifade ediyor.

Kullanıcılar ve sistem yöneticileri, Microsoft Defender'ın otomatik güncelleme özelliğini etkinleştirerek bu kritik güvenlik açığına karşı korunabilir. Güncellemelerin düzgün bir şekilde uygulandığından emin olmak için düzenli kontroller yapılması önerilir. Ayrıca, Defender dışında ek güvenlik katmanları (örneğin, davranış tabanlı algılama sistemleri) kullanmak, benzer açıkların istismar edilmesini zorlaştırabilir. Microsoft'un bu tür açıkları hızla kapatması sevindirici olsa da, sıfır gün açıklarının sürekli olarak ortaya çıkması, güvenlik yaklaşımının sürekli iyileştirilmesi gerektiğini gösteriyor.

Kaynak: securityaffairs.com

Paylaş: