Güvenlik araştırmacısı Chaotic Eclipse (Nightmare-Eclipse olarak da bilinir), LegacyHive adını verdiği yeni bir proof-of-concept (PoC) istismarı yayınladı. Bu istismar, Windows Kullanıcı Profili Hizmeti'nde (ProfSvc) bir ayrıcalık yükseltme güvenlik açığı olarak tanımlanıyor. ProfSvc, kullanıcı hesaplarını ve ortamlarını yöneten temel bir sistem bileşenidir. Araştırmacıya göre PoC, başarılı olması durumunda hedef kullanıcının kayıt defteri kovanını (hive) mevcut kullanıcının sınıflar köküne (classes root) bağlıyor.
Chaotic Eclipse, istismarın kamuya açık kullanımı önlemek için sadeleştirildiğini belirtti. Orijinal istismarın ek kullanıcı kimlik bilgileri gerektirmediğini ve yalnızca 'usrclass.dat' kovanı ile sınırlı olmadığını vurguladı. 'Herhangi bir kovan yüklenebilir, ancak PoC'yi bunu yapacak şekilde değiştirmek için biraz beyin gücü gerekir' diye ekledi. LegacyHive'in en dikkat çekici yanı, en son Temmuz 2026 Patch Tuesday güncellemesini çalıştıranlar da dahil olmak üzere tüm desteklenen Windows masaüstü ve sunucu sürümlerinde çalışması.
Chaotic Eclipse ile Microsoft arasındaki gerginlik en az Nisan 2026'dan beri sürüyor. Araştırmacı, iletişim kopukluğunu gerekçe göstererek, Microsoft'un yamaları hazırlamasına fırsat vermeden birden fazla istismarın detaylarını yayınladı. Kamuya açıklandıktan kısa süre sonra Microsoft Defender'daki üç güvenlik açığı aktif olarak istismar edilmeye başlandı. Bu ayın başında Microsoft, araştırmacının ifşa ettiği RoguePlanet adlı başka bir Defender açığı için güvenlik güncellemeleri yayınladı. Ancak, açığı gidermek için eklenen 'savunma derinliği güncellemeleri', belirli senaryolarda bir dosyayı açmaya çalışırken Microsoft Defender'ın 8 baytlık veri sızdırmasına neden oldu.
Uzmanların Görüşleri
Bu gelişmeler, Microsoft'un rekor sayıda 622 güvenlik açığını yamaladığı bir döneme denk geldi. Bunlar arasında SharePoint Server'da (CVE-2026-56164, CVSS puanı: 5.3) ve Active Directory Federation Services'te (CVE-2026-56155, CVSS puanı: 7.8) aktif olarak istismar edilen iki ayrıcalık yükseltme açığı da yer alıyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), her iki açığı da Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve federal kurumların bu yamaları sırasıyla 17 Temmuz ve 28 Temmuz 2026'ya kadar uygulamasını zorunlu kıldı.
Teknik Analiz
Rapid7'den Adam Barnett, 'Yıllarca süren göreceli istikrarın ardından, Patch Tuesday süreci 2026'da önemli bir türbülans yaşıyor' dedi. 'Yapay zeka destekli üstel güvenlik açığı raporlama ve keşif artışının yanı sıra Microsoft, Redmond için maksimum rahatsızlık yaratacak şekilde ifşa edilen bir dizi güvenlik açığıyla boğuşuyor.' CISA, SharePoint Server'daki birden fazla açığın (CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164) aktif istismar edildiği konusunda uyardı. Bu açıklar, tehdit aktörlerinin hassas örneklere yetkisiz erişim sağlamasına olanak tanıyor.
Temmuz 2026 güncellemesi ayrıca SharePoint Server'da kritik bir güvenlik özelliği atlatma açığını (CVE-2026-55040, CVSS puanı: 9.1) da gideriyor. Uzaktan kimliği doğrulanmamış bir saldırgan, bu açığı kullanarak savunmasız bir SharePoint sunucusunda kimlik doğrulamasını atlayabilir ve SharePoint sitesi kullanıcısı veya yöneticisi olarak işlemler gerçekleştirebilir. Rapid7, 'Güvenlik açığı, JWT token doğrulama hattındaki birkaç sorundan kaynaklanıyor. Saldırgan, CVE-2026-55040'ı başarıyla istismar ederek hedef SharePoint sitesinde kimliğine büründüğü kullanıcı olarak işlem yapabilir. Ayrıca, bu kimlik doğrulama atlatması, hedef sitenin kimliği doğrulanmış saldırı yüzeyindeki ek güvenlik açıklarına zincirlenebilir' uyarısında bulundu.
Kaynak: thehackernews.com