Microsoft Patch Tuesday Sonrası Saniyeler İçinde Yeni Windows Zero-Day PoC Yayımlandı Siber Güvenlik

Microsoft Patch Tuesday Sonrası Saniyeler İçinde Yeni Windows Zero-Day PoC Yayımlandı

Güvenlik araştırmacısı Chaotic Eclipse, Microsoft'un Patch Tuesday güncellemelerinin hemen ardından LegacyHive adlı yeni bir zero-day PoC yayımladı. T

Siber güvenlik dünyasında hareketli günler yaşanıyor. Araştırmacı Chaotic Eclipse (Nightmare-Eclipse olarak da bilinir), Microsoft'un Temmuz 2026 Patch Tuesday güncellemelerinden saatler sonra LegacyHive adlı yeni bir proof-of-concept (PoC) exploit yayımladı. Bu istismar, Windows User Profile Service (ProfSvc) bileşeninde bulunan bir ayrıcalık yükseltme güvenlik açığını hedef alıyor. ProfSvc, kullanıcı hesaplarını ve ortamlarını yöneten temel bir sistem bileşeni olarak biliniyor. LegacyHive, özellikle 'usrclass.dat' hive dosyasını hedef alarak saldırganın hedef kullanıcının kayıt defteri kovanını geçerli kullanıcının sınıf köküne monte etmesine olanak tanıyor.

Chaotic Eclipse'in açıklamalarına göre PoC, başarılı olması için standart bir kullanıcı kimlik bilgisi ve üçüncü bir kullanıcı adı (yönetici hesabı olabilir) gerektiriyor. Araştırmacı, yayımladığı exploit'i kasıtlı olarak sınırladığını belirterek, orijinal istismarın ek kullanıcı kimlik bilgilerine ihtiyaç duymadığını ve yalnızca 'usrclass.dat' ile sınırlı kalmadığını vurguladı. "Bu güvenlik açığı kullanılarak herhangi bir hive yüklenebilir, ancak PoC'yi bunu yapacak şekilde uyarlamak biraz beyin gücü gerektirir" diyen araştırmacı, açığın potansiyelini gözler önüne serdi.

LegacyHive'in en dikkat çekici özelliği, en son Temmuz 2026 Patch Tuesday güncellemelerini çalıştıranlar da dahil olmak üzere tüm desteklenen Windows masaüstü ve sunucu sürümlerinde çalışıyor olması. Bu durum, Microsoft'un güncellemelerinin bu açığı kapatmadığını gösteriyor. Chaotic Eclipse ve Microsoft arasındaki gerginlik ise en az Nisan 2026'dan beri devam ediyor. Araştırmacı, iletişim kopukluğu nedeniyle Microsoft'un yamaları hazırlamasını beklemeden birden fazla exploit'in ayrıntılarını yayımladı. Microsoft Defender'daki üç güvenlik açığı, kamuya açıklandıktan kısa süre sonra aktif olarak istismar edilmeye başlandı.

Önemli Gelişmeler

Geçtiğimiz günlerde Microsoft, araştırmacının ifşa ettiği RoguePlanet adlı başka bir Defender güvenlik açığı için güvenlik güncellemeleri yayımladı. Ancak, bu açığı gidermek için eklenen 'savunma derinliği güncellemeleri'nin bazı senaryolarda dosya açmaya çalışırken Microsoft Defender'ın 8 bayt veri sızdırmasına neden olduğu ortaya çıktı. Microsoft, The Hacker News'e yeni raporu araştırdığını bildirdi. LegacyHive hakkında henüz resmi bir açıklama yapılmazken, gelişmeler takip ediliyor.

Sistem Güvenliği

Bu arada Microsoft, rekor sayıda 622 güvenlik açığını yamaladığı Temmuz 2026 güncellemelerinde, aktif olarak istismar edilen iki ayrıcalık yükseltme açığını da düzeltti. SharePoint Server'da bulunan CVE-2026-56164 (CVSS puanı: 5.3) ve Active Directory Federation Services'taki CVE-2026-56155 (CVSS puanı: 7.8) açıkları, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi. Bu katalog, federal kurumların bu yamaları sırasıyla 17 Temmuz ve 28 Temmuz 2026'ya kadar uygulamasını zorunlu kılıyor.

Sonuç ve Değerlendirme

Rapid7'den Adam Barnett, "Yıllar süren görece istikrarın ardından, Patch Tuesday süreci 2026'da önemli bir türbülans yaşıyor. Yapay zeka destekli üstel büyüyen güvenlik açığı raporlama ve keşfinin yanı sıra Microsoft, Redmond için maksimum rahatsızlık yaratacak şekilde ifşa edilen bir dizi güvenlik açığıyla boğuşuyor" dedi. CISA ayrıca, CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164 dahil olmak üzere birden fazla SharePoint Server güvenlik açığının aktif olarak istismar edildiğini ve tehdit aktörlerinin hassas sistemlere yetkisiz erişim sağladığını bildirdi.

SharePoint Server'daki kritik bir güvenlik özelliği atlatma açığı olan CVE-2026-55040 (CVSS puanı: 9.1) da Temmuz 2026 güncellemelerinde düzeltildi. Bu açık, uzaktaki kimliği doğrulanmamış bir saldırganın SharePoint sunucusunda kimlik doğrulamasını atlatmasına ve bir SharePoint site kullanıcısı veya yöneticisi olarak işlem yapmasına olanak tanıyor. Rapid7, "Güvenlik açığı, JWT token doğrulama hattındaki birkaç sorundan kaynaklanıyor. Saldırgan, CVE-2026-55040'ı başarıyla istismar ederek hedef SharePoint sitesine karşı kimliğine büründüğü kullanıcı olarak işlem yapabilir. Ayrıca, bu kimlik doğrulama atlatması, hedef sitenin kimliği doğrulanmış saldırı yüzeyindeki ek güvenlik açıklarıyla zincirlenebilir" açıklamasını yaptı.

Kaynak: thehackernews.com

Paylaş: