Microsoft, bu ayki Patch Tuesday güncellemesiyle tüm zamanların rekorunu kırarak 622 güvenlik açığını kapattı. Bu sayı, Haziran ayındaki yaklaşık 200 açıklık rekorunun üç katından fazla. En kritik olanlar ise halihazırda saldırganlar tarafından aktif olarak kullanılan iki sıfır gün açığı: SharePoint Server'da bir ayrıcalık yükseltme (CVE-2026-56164) ve Active Directory Federation Services'ta (AD FS) bir diğer ayrıcalık yükseltme (CVE-2026-56155). Bu iki açık, kimlik ve işbirliği altyapısını hedef alıyor ve acilen yamalanması gerekiyor.
CVE-2026-56164, SharePoint Server'da kimliği doğrulanmamış bir saldırganın ağ üzerinden ayrıcalık yükseltmesine olanak tanıyor. Saldırganın herhangi bir kimlik bilgisine veya kullanıcı etkileşimine ihtiyacı yok. Microsoft, açığı Mandiant ve Google FLARE ekiplerine atfediyor, bu da aktif saldırılarda keşfedildiğini gösteriyor. Özellikle kendi SharePoint sunucunuzu barındırıyorsanız, bu yamayı önceliklendirmelisiniz. Ayrıca bugün itibarıyla SharePoint Server 2016 ve 2019'un genişletilmiş desteği sona eriyor; Windows Server veya SQL Server'ın aksine, bu sürümler için ücretli bir ESU programı bulunmuyor. Microsoft, sunucuda AMSI'yi Tam Mod'da etkinleştirmenin saldırıyı körleştirebileceğini belirtiyor.
CVE-2026-56155 ise AD FS'de, kimliği doğrulanmış bir saldırganın zayıf erişim kontrolleri aracılığıyla yerel ayrıcalık yükseltmesine izin veriyor. Microsoft'un DART olay müdahale ekibi tarafından keşfedilen bu açık, AD FS'nin kurumsal güvenlikteki kritik rolü nedeniyle özellikle önemli. AD FS, diğer sistemlerin güvendiği token'ları imzalayan sunucudur. Bu nedenle 'yerel' olarak etiketlenmiş bir açık bile aslında geniş çaplı etkilere sahip olabilir. Microsoft, açığın hangi ayrıcalıkları sağladığını veya nasıl kullanıldığını henüz açıklamadı. Her iki sıfır gün de henüz CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğunda yer almıyor; ancak Microsoft'un kendi değerlendirmesi onları 'istismar edilmiş' olarak işaretliyor. Bu nedenle KEV listesini beklemeden yamalayın.
Üçüncü bir sıfır gün açığı (CVE-2026-50661) ise BitLocker atlatması olarak duyuruldu, ancak aktif saldırı altında değil. Fiziksel erişim gerektirdiği için acil bir durum oluşturmuyor; yine de yamalanması öneriliyor. SharePoint Server için bir diğer önemli düzeltme ise Rapid7 Labs tarafından keşfedilen bir JWT kimlik doğrulama atlatması (CVE-2026-55040). Rapid7, bu açığı ayrı bir uzaktan kod yürütme (RCE) açığıyla zincirleyerek kimliği doğrulanmamış RCE elde edebildiklerini gösterdi. RCE kısmı henüz yamalanmadı ve Ağustos ayında düzeltilmesi planlanıyor. Bu nedenle bu ayki yama, zinciri kıran kritik bir adım.
Önemli Gelişmeler
Bu güncelleme ayrıca Microsoft'un yıllardır süren Kerberos RC4 sertleştirme sürecini tamamlıyor. Temmuz ayı itibarıyla RC4DefaultDisablementPhase rollback anahtarı kaldırılıyor. Artık RC4 yalnızca açıkça izin verilen hesaplar için çalışacak. Ortamınızda hâlâ RC4 Kerberos biletleri talep eden servis hesapları varsa, güncelleme sonrası kimlik doğrulama başarısız olabilir. Bu nedenle sıralama önemli: önce denetim yapın (Microsoft'un Ocak ayında eklediği RC4 denetim olaylarını kullanarak), ardından işaretlenen servis hesaplarının şifrelerini değiştirin (böylece AES anahtarları oluşturulur), sonra yamayı uygulayın. RC4'ün kalıcı olarak yapılandırıldığı veya yalnızca RC4 konuşan eski istemciler için ayrı bir düzeltme planı yapmanız gerekebilir.
Sistem Güvenliği
Temmuz ayı genellikle Microsoft takviminde en hafif aylardan biridir; bu nedenle 622 açıklık bir rekor. Windows tek başına 416 CVE ile listede başı çekiyor. ZDI, genel sürümde 95 uzaktan kod yürütme açığı sayıyor. Diğer ürün ailelerinde de önemli düzeltmeler var: Office'te 82, Microsoft Edge'de 46, Geliştirici Araçları'nda 27 (Visual Studio, VS Code, GitHub Copilot), SharePoint Server'da 17 (iki sıfır gün dahil), Azure'da 11 (acil durum yok), SQL Server'da 8 (iki RCE), Defender'da 5 (iki Kritik RCE) ve Exchange Server'da 5. Bu kadar çok açık arasında önceliklendirme yapmak zor olabilir; ancak aktif olarak sömürülen iki sıfır gün ve SharePoint RCE zinciri en acil olanlar.
Özetle, bu ayki Patch Tuesday, Microsoft'un en büyük güvenlik güncellemesi olarak tarihe geçti. Aktif saldırı altındaki SharePoint Server ve AD FS açıklarını hemen yamalayın. SharePoint Server 2016/2019 kullanıcıları için desteğin sona erdiğini unutmayın. Kerberos RC4 değişiklikleri öncesinde denetim yapmayı ihmal etmeyin. BitLocker açığı daha düşük öncelikli olsa da yamalanmalı. Microsoft'un ciddiyet derecelendirmelerine çok güvenmeyin; bu ay özellikle SharePoint açığı düşük ciddiyetle işaretlenmiş olsa da aktif istismar ediliyor. Kendi ortamınızı değerlendirin ve riskleri buna göre yönetin.
Kaynak: thehackernews.com