Microsoft'tan Rekor Düzeyde 622 Güvenlik Yaması: Aktif Olarak Kullanılan İki Sıfırıncı Gün Açığı Acilen Kapatılmalı Yazılım

Microsoft'tan Rekor Düzeyde 622 Güvenlik Yaması: Aktif Olarak Kullanılan İki Sıfırıncı Gün Açığı Acilen Kapatılmalı

Microsoft, rekor sayıda 622 güvenlik açığını kapattığı Patch Tuesday güncellemesinde, aktif olarak kullanılan iki sıfırıncı gün açığına karşı yama yay

Microsoft, bugüne kadarki en büyük Patch Tuesday güncellemesini yayınlayarak 622 güvenlik açığını kapattı. Bu sayı, Haziran ayındaki yaklaşık 200 açıklık rekorun üç katından fazla. Güncelleme, saldırganların halihazırda aktif olarak kullandığı iki sıfırıncı gün açığını da içeriyor. Bu açıklar, özellikle kurumsal altyapıları hedef alan kritik güvenlik zafiyetleri oluşturuyor.

İlk olarak ele alınması gereken açık, CVE-2026-56164 kodlu SharePoint Server güvenlik açığı. Bu açık, kimlik doğrulaması yapmamış bir saldırganın ağ üzerinden ayrıcalık yükseltmesine olanak tanıyor. Saldırganın herhangi bir kimlik bilgisine veya kullanıcı etkileşimine ihtiyaç duymaması, açığı oldukça tehlikeli kılıyor. Microsoft, bu açığı Mandiant ve Google FLARE ekibinin müdahale ekiplerine atfediyor; bu da açığın aktif saldırılarda keşfedildiğini gösteriyor. Özellikle kendi SharePoint sunucularını barındıran kuruluşların bu yamayı öncelikle uygulaması gerekiyor. Ayrıca bugün, SharePoint Server 2016 ve 2019 için genişletilmiş destek sona eriyor; bu sürümler için ücretli bir ESU programı bulunmuyor. Microsoft, yama uygulamanın yanı sıra sunucuda AMSI'nin Tam Mod'da etkinleştirilmesinin de saldırıyı hafifletebileceğini belirtiyor.

İkinci aktif olarak kullanılan açık ise CVE-2026-56155 kodlu Active Directory Federation Services (AD FS) güvenlik açığı. Bu açık, kimlik doğrulaması yapmış bir saldırganın zayıf erişim kontrolleri aracılığıyla yerel olarak ayrıcalık yükseltmesine olanak tanıyor. Microsoft'un kendi DART müdahale ekibi bu açığı bildirdi. AD FS, kurumsal kimlik doğrulama altyapısının kalbinde yer alan ve diğer sistemlerin güvendiği token'ları imzalayan kritik bir bileşendir. Bu nedenle "yerel" olarak etiketlenmiş bir açık bile aslında tüm sistemi etkileyebilecek potansiyele sahip. Her iki açık da henüz CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğunda yer almıyor; ancak Microsoft'un kendi istismar edilebilirlik derecelendirmesi her ikisini de "istismar edilmiş" olarak işaretliyor. Bu nedenle resmi bir KEV listesini beklemeden yamaların uygulanması kritik önem taşıyor.

Üçüncü bir sıfırıncı gün açığı olan CVE-2026-50661 ise kamuya duyurulmuş durumda ancak henüz aktif olarak kullanılmıyor. Bu, fiziksel erişim gerektiren bir BitLocker atlatma açığı olduğu için acil bir uzaktan tehdit oluşturmuyor. Yine de yamanın uygulanması öneriliyor. SharePoint için bir diğer önemli düzeltme ise CVE-2026-55040 koduyla gelen JWT kimlik doğrulama atlatma açığı. Rapid7 tarafından Pwn2Own Berlin yarışması için keşfedilen bu açık, bir dizi zincirleme saldırıyla kimlik doğrulaması gerektirmeyen uzaktan kod çalıştırmaya (RCE) olanak tanıyor. Ancak RCE kısmı henüz yamalanmadı ve Ağustos ayında düzeltilmesi planlanıyor. Bu nedenle Temmuz yaması, zinciri kıran kritik bir düzeltme olarak öne çıkıyor.

Uzmanların Görüşleri

Bu güncelleme ayrıca Microsoft'un çok yıllı Kerberos RC4 sertleştirme sürecini tamamlıyor. Temmuz güncellemesiyle birlikte RC4DefaultDisablementPhase geri alma anahtarı kaldırılıyor. Artık RC4 yalnızca açıkça yapılandırılmış hesaplar için çalışacak. Ortamınızda hâlâ RC4 Kerberos biletleri isteyen hizmet hesapları varsa, güncelleme yüklendiğinde kimlik doğrulama başarısız olabilir. Bu nedenle önce denetim yapılması, ardından işaretlenen hizmet hesaplarının şifrelerinin değiştirilmesi ve son olarak yamanın uygulanması öneriliyor. Şifre değişikliği, Windows'un AES anahtarları oluşturmasını sağlayarak sorunu çözüyor.

Temmuz ayı genellikle Microsoft takviminin en hafif aylarından biri olmasına rağmen, bu ayki 622 açıklık güncelleme rekoru dikkat çekiyor. Windows tek başına 416 açığı oluştururken, ZDI raporuna göre 95 uzaktan kod çalıştırma (RCE) açığı bulunuyor. Diğer ürün ailelerinde ise Office'te 82, Edge'de 46, Geliştirici Araçları'nda 27, SharePoint Server'da 17, Azure'da 11, SQL Server'da 8, Defender'da 5 ve Exchange Server'da 5 açık yer alıyor. En yüksek puana sahip açık ise 9.9 ile VMSwitch RCE (CVE-2026-57092) olarak kaydedildi.

Bu kadar geniş kapsamlı bir güncelleme, yöneticiler için önceliklendirme zorluğu yaratıyor. Ancak aktif olarak kullanılan sıfırıncı gün açıkları (CVE-2026-56164 ve CVE-2026-56155) her zaman ilk sırada yer almalı. SharePoint ve AD FS gibi kritik kimlik ve işbirliği altyapılarını hedef alan bu açıklar, kısa vadede ciddi güvenlik ihlallerine yol açabilir. Ayrıca RC4 ile ilgili değişiklikler ve yaklaşan SharePoint RCE zinciri de göz önünde bulundurulmalı. Kuruluşların, güncellemeyi planlı bir şekilde ve önceliklendirme yaparak uygulaması önerilir.

Kaynak: thehackernews.com

Paylaş: