Microsoft, yayınladığı yeni bir bildiri ile güvenlik araştırmacılarını sert bir dille eleştirdi. Şirket, ürünlerindeki altı adet sıfırıncı gün (zero-day) güvenlik açığının, yamalar hazırlanmadan ve önceden haber verilmeksizin kamuya duyurulmasını 'koordinasyonsuz ifşa' olarak nitelendirdi. Bu tür eylemlerin müşterileri 'gereksiz yere riske attığını' vurgulayan teknoloji devi, bu tür davranışların kabul edilemez olduğunu belirtti. Söz konusu açıklar arasında Microsoft Defender'da ayrıcalık yükseltme (CVE-2026-41091, CVE-2026-45498), Windows BitLocker'da güvenlik özelliği atlatma (CVE-2026-45585), yine Defender'da hizmet reddi (CVE-2026-45498) ve BitLocker ile Windows Cloud Filter sürücüsünde ayrıcalık yükseltme açıkları bulunuyor.
Microsoft, bu koordinasyonsuz ifşalar nedeniyle güvenlik ekiplerinin 'gece gündüz çalışarak' açıkları araştırdığını, geçici önlemler geliştirdiğini ve güvenlik yamaları üzerinde çalıştığını açıkladı. Şirket, bu tür eylemlerin 'yamalanmamış açıklar için kanıt-kodlarını kötü niyetli kişilerin eline verdiğini' ve bunun 'asla haklı gösterilemeyeceğini' ifade etti. Microsoft, 'Müşterilerimize ve dijital ekosisteme zarar verebilecek her türlü uygun koordinasyon dışı ifşaya karşı olduğumuzu açıkça belirtiyoruz' diyerek tepkisini yineledi.
Bu altı açığın arkasında olduğunu iddia eden bir kişi, Microsoft'un kendisini açık ifşa platformundan sildiğini, herhangi bir ödeme yapmadığını, bir danışma yazısında karaladığını ve tehdit ettiğini öne sürdü. Ancak bu iddialar yazının hazırlandığı tarihte doğrulanmamıştı. Microsoft ise güvenlik araştırmacılarını endüstri standardı olan Koordineli Açık İfşası (CVD) prosedürlerini izlemeye çağırdı. Bu süreçte, açığı bulan kişi ile ürün sahibi, genellikle 90 günlük bir ambargo dönemi üzerinde anlaşarak, yamalar geliştirilene kadar açığın gizli tutulmasını sağlar. Karşılığında araştırmacı, katkısı için ödüllendirilir ve kamuoyunda takdir edilir.
Önemli Gelişmeler
CVD süreçleri, hata ödül programları, kitle kaynaklı hata avlama platformları ve spontane açık bildirim faaliyetleriyle yaygınlaşmıştır. Microsoft, her yıl yüzlerce güvenlik araştırmacısıyla CVD kapsamında çalıştığını belirterek, 'Bu ortaklık, kanıt-kodları kötü niyetli kişilerin eline geçmeden etkilenen hizmetlerde güncellemeler yapmamızı sağlıyor. Ayrıca araştırmacıların sorumlu ifşaları için ödüllendirilmesini ve uzmanlıklarının kamuoyunda takdir edilmesini sağlıyoruz' dedi. Şirket, 'Her konuda hemfikir olmayacağımızın farkındayız ancak şeffaflığa bağlıyız ve diyalog için fırsatlar yaratmaya devam ediyoruz' ifadelerini kullandı.
Teknik Analiz
Siber güvenlik sektörünün önde gelen isimleri ise geleneksel CVD modelinin yeniden düşünülmesi gerektiği konusunda uyarılarda bulunuyor. Özellikle yapay zeka araçlarının (Anthropic'in Claude Mythos ve OpenAI'nin GPT5.5-Cyber gibi) güvenlik açığı araştırmalarını muazzam ölçüde hızlandırması, 90 günlük ambargo kuralının geçerliliğini sorgulatıyor. Anchore'un Güvenlik Başkan Yardımcısı Josh Bressers, CVD'nin ölü olmasa bile sağlıklı olmadığını belirterek, 'CVD her zaman insan yoğun bir süreçti. Ancak şimdi açıklar katlanarak artıyor -AI saldırısından önce bile- ve güvenlik ekiplerimiz uzun süredir sabit kaldı. En iyi ihtimalle doğrusal ölçekleniyorlar' dedi.
Gelecekte Ne Bekleniyor?
VulnCheck'ten Patrick Garrity, CVD prosedürünün hala değerli olduğunu ancak bazı durumlarda, özellikle açıklar halihazırda istismar ediliyorsa veya istismar edilme olasılığı yüksekse, zaman çizelgelerinin önemli ölçüde hızlanması gerektiğini vurguladı. RogoLabs kurucusu ve eski Cisco tehdit algılama mühendisi Jerry Gamblin ise 90 günlük pencereye daha şüpheci yaklaşıyor: 'Bu, bir açığı silah haline getirmenin haftalar sürdüğü bir dünya için tasarlanmıştı. Savunmacı penceresi sadece küçülmedi; çoğu durumda tersine döndü.' Bressers, açık kaynak katkıcıları, güvenlik araştırmacıları ve endüstri arasında daha iyi iş birliği gerektiğini belirterek, 'Geçmişte güvenlik insanları başkalarıyla iyi çalışmazdı, gizlilik çok önemliydi. Ancak bu gizlilik, açıkların ele alınmasını herkes için çok kaynak yoğun hale getirdi' dedi.
Gamblin, düzenleyicilerin bu sorunu bizim için çözmüş olabileceğini düşünüyor: 'AB Siber Dayanıklılık Yasası (CRA) 72 saatlik bir bildirim penceresi gerektiriyor ve bu küresel taban haline gelirse, 90 günlük standart bir kalıntı gibi görünmeye başlar.' Çözümün koordinasyonu terk etmek olmadığını, zaman çizelgesini gerçek tehdit hızına göre kademelendirmek olduğunu söyleyen Gamblin, 'Aktif olarak istismar edilen kritik açıklar için yedi gün, düşük önemdeki bulgular için 90 gün tavan, satıcı yanıt verebilirliği belirleyici değişken olsun. Eminim bir yolunu bulacağız ama acı ve ıstırap çekmeden değil' diye ekledi.
Kaynak: infosecurity-magazine.com