Microsoft, neredeyse bir ay önce kamuoyuna duyurulan RoguePlanet adlı Defender güvenlik açığı için kritik bir güvenlik güncellemesi yayınladı. CVE-2026-50656 olarak izlenen bu açık, Microsoft Malware Protection Engine (mpengine.dll) bileşeninde bulunan bir ayrıcalık yükseltme sorunuydu. CVSS puanı 7.8 olan bu zafiyet, saldırganlara sistem üzerinde tam yetki (SYSTEM seviyesi) kazanma imkanı tanıyordu. Microsoft, sorunu gidermek için Malware Protection Engine sürüm 1.1.26060.3008'i yayınlarken, aynı zamanda savunma derinliği güncellemeleriyle ilgili güvenlik özelliklerini de güçlendirdi.
RoguePlanet açığı, ilk olarak Chaotic Eclipse (Nightmare-Eclipse olarak da bilinir) isimli bir güvenlik araştırmacısı tarafından ifşa edildi. Araştırmacı, bu açığı bir 'yarış koşulu' (race condition) olarak tanımladı ve SYSTEM seviyesinde bir komut satırı (shell) başlatmak için kullanılabileceğini gösterdi. Bu, saldırganın rastgele kod çalıştırmasına veya yetkisiz işlemler gerçekleştirmesine olanak tanıyor. Araştırmacının açıklamalarına göre, açık, Haziran 2026 Patch Tuesday güncellemelerinin yüklü olduğu en güncel Windows sistemlerinde bile çalışıyordu. Daha da endişe verici olanı, açığın gerçek zamanlı korumanın açık veya kapalı olmasından bağımsız olarak işe yaramasıydı.
Microsoft, güvenlik açığını keşfeden araştırmacıya resmi olarak teşekkür etmemiş olsa da, bu durum Chaotic Eclipse'ın Microsoft Defender'da keşfettiği ilk açık değil. Araştırmacı daha önce BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) ve RedSun (CVE-2026-41091) olarak adlandırılan üç farklı Defender güvenlik açığını daha ifşa etmişti. Tüm bu açıklar Microsoft tarafından yamalanmış durumda. RoguePlanet, bu serinin dördüncü üyesi olarak dikkat çekiyor ve Defender'ın ne kadar karmaşık güvenlik zafiyetleri barındırabileceğini gösteriyor.
Nasıl Önlem Alınmalı?
Teknik detaylara inildiğinde, RoguePlanet açığının mpengine.dll dosyasındaki bir yarış koşulundan kaynaklandığı görülüyor. Yarış koşulu, birden fazla işlemin aynı anda paylaşılan bir kaynağa erişmeye çalışması sonucu oluşan istenmeyen durumlardır. Bu açık özelinde, saldırgan belirli bir zamanlama ile Defender'ın tarama motorunu atlatarak, normalde erişemeyeceği sistem dosyalarına müdahale edebiliyor. Bu da SYSTEM yetkileriyle kod çalıştırmaya kadar giden bir saldırı zincirini mümkün kılıyor. Özellikle kurumsal ağlarda, bir uç noktada SYSTEM yetkisi alan saldırgan, ağdaki diğer sistemlere de sıçrayabilir.
Uzmanların Görüşleri
Microsoft, CVE-2026-50656 için herhangi bir kullanıcı işlemi gerektirmediğini belirtti. Çünkü Microsoft'un kötü amaçlı yazılımdan koruma yazılımları, varsayılan olarak imza ve motor güncellemelerini otomatik olarak alacak şekilde yapılandırılmıştır. Şirket, "Kurumsal dağıtımlar ve son kullanıcılar için Microsoft kötü amaçlı yazılımdan koruma yazılımındaki varsayılan yapılandırma, kötü amaçlı yazılım tanımlarının ve Microsoft Malware Protection Engine'in otomatik olarak güncel tutulmasını sağlar" açıklamasını yaptı. Kullanıcılar ayrıca istedikleri zaman manuel olarak güncelleme kontrolü yapabilirler.
Sonuç ve Değerlendirme
Bu güncelleme, Microsoft Defender kullanan tüm Windows sürümlerini etkiliyor. Kullanıcıların herhangi bir aksiyon almasına gerek olmasa da, sistemlerinin güncel olduğundan emin olmak için Windows Update'i kontrol etmeleri önerilir. Özellikle kurumsal ortamlarda, IT yöneticilerinin güncellemenin tüm uç noktalara ulaştığını doğrulaması önemli. RoguePlanet açığı, güvenlik yamalarının ne kadar kritik olduğunu bir kez daha hatırlatıyor: Görünüşte güvenli bir antivirüs yazılımı bile, saldırganlara sistemin tam kontrolünü verebilecek zafiyetler barındırabiliyor.
Kaynak: thehackernews.com