Siber güvenlik araştırmacısı Chaotic Eclipse (Nightmare-Eclipse olarak da bilinir), LegacyHive adlı yeni bir proof-of-concept (PoC) istismar kodu yayınladı. Bu açık, Windows Kullanıcı Profili Hizmeti'ndeki (ProfSvc) bir ayrıcalık yükseltme zafiyetini hedef alıyor. ProfSvc, kullanıcı hesaplarını ve ortamlarını yöneten temel bir sistem bileşenidir.
Araştırmacının açıklamasına göre, PoC'nin çalışması için standart bir kullanıcı kimlik bilgisi ve üçüncü bir kullanıcı adı (yönetici hesabı olabilir) gerekiyor. Başarılı olduğunda, hedef kullanıcının kovanını (hive) mevcut kullanıcının sınıf kayıt defteri köküne (classes root) bağlıyor. Araştırmacı, istismarın kamuya açık istismarı önlemek için sadeleştirildiğini, orijinal sürümün ek kullanıcı kimlik bilgileri gerektirmediğini ve 'usrclass.dat' kovanı ile sınırlı olmadığını belirtti. 'Herhangi bir kovan bu zafiyet kullanılarak yüklenebilirdi, ancak PoC'nin bunu yapması için biraz beyin hücresi gerekirdi.'
LegacyHive'in dikkat çekici yanı, Temmuz 2026 Patch Tuesday güncellemesini çalıştıranlar da dahil olmak üzere tüm desteklenen Windows masaüstü ve sunucu sürümlerinde çalışması. Chaotic Eclipse ve Microsoft arasındaki gerginlik Nisan 2026'ya kadar uzanıyor. Araştırmacı, iletişim kopukluğu gerekçesiyle birden fazla istismarın ayrıntılarını Microsoft'un yama hazırlamasına fırsat vermeden yayınlamıştı. Kamuya duyurulmasından kısa süre sonra Microsoft Defender'daki üç zafiyet aktif olarak istismar edilmeye başlanmıştı.
Microsoft, konuyla ilgili yeni raporu araştırdığını açıkladı. Bir sözcü, 'Microsoft rapor edilen zafiyetin farkındadır ve geçerliliğini aktif olarak araştırmaktadır. Müşterileri korumak için etkilenen ürünleri güncellemeye kararlıyız.' dedi. Ayrıca, koordineli zafiyet ifşasını (coordinated vulnerability disclosure) desteklediklerini vurguladı.
Gelecekte Ne Bekleniyor?
Bu gelişme, Microsoft'un rekor sayıda 622 zafiyet için yama yayınladığı bir döneme denk geldi. Bunlar arasında SharePoint Server (CVE-2026-56164, CVSS puanı: 5.3) ve Active Directory Federation Services (CVE-2026-56155, CVSS puanı: 7.8) için aktif olarak istismar edilen iki ayrıcalık yükseltme zafiyeti de bulunuyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), her iki zafiyeti de Bilinen İstismar Edilen Zafiyetler (KEV) kataloğuna ekleyerek federal kurumların düzeltmeleri sırasıyla 17 ve 28 Temmuz 2026'ya kadar uygulamasını zorunlu kıldı.
Rapid7'den Adam Barnett, 'Yıllar süren görece istikrarın ardından Patch Tuesday süreci 2026'da önemli bir türbülans yaşıyor. Yapay zeka destekli üstel büyüyen zafiyet raporlamasının yanı sıra Microsoft, Redmond için maksimum rahatsızlık yaratacak şekilde ifşa edilen bir dizi zafiyetle boğuşuyor.' dedi. CISA, ayrı ayrı bir danışma belgesinde, CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164 dahil olmak üzere birden fazla SharePoint Server zafiyetinin aktif olarak istismar edildiğini duyurdu. Bu zafiyetler, şirket içi SharePoint Server sürümlerini etkiliyor ve uzaktan kod yürütme (RCE) ve IIS makine anahtarlarını çalma gibi sömürü sonrası faaliyetlere olanak tanıyor.
Action1 CEO'su Alex Vovk, CVE-2026-56164 hakkında 'Zafiyet, kritik bir işlev için eksik kimlik doğrulamadan kaynaklanıyor ve saldırganın yetkilendirme gerektiren işlevselliğe erişmesine izin veriyor. İnternete açık SharePoint sunucuları, saldırının geçerli kimlik bilgileri olmadan uzaktan gerçekleştirilebilmesi nedeniyle özellikle savunmasız.' dedi. Temmuz 2026 güncellemesi ayrıca, kimliği doğrulanmamış uzak bir saldırganın SharePoint kimlik doğrulamasını atlamasına olanak tanıyan kritik bir güvenlik özelliği atlama zafiyetini (CVE-2026-55040, CVSS puanı: 9.1) de gideriyor. Araştırmacı Kevin Beaumont, LegacyHive istismarının çalıştığını ve yamalanmadığını doğrularken, Will Dormann bu zafiyetin yönetici olmayan bir kullanıcıya yöneticinin sınıf kayıt defteri kovanını değiştirme yetkisi verdiğini belirterek 'oldukça güçlü bir ilkel' olduğunu söyledi.
Kaynak: thehackernews.com