Microsoft'un Temmuz 2026 Patch Salı güncellemeleri, 622 hatayı gidererek şirket tarihinde bir rekora imza atarken, güvenlik araştırmacısı Chaotic Eclipse (Nightmare-Eclipse olarak da bilinir) tarafından geliştirilen LegacyHive adlı yeni bir proof-of-concept (PoC) kısa sürede gündeme oturdu. Bu PoC, Windows User Profile Service (ProfSvc) bileşenindeki bir ayrıcalık yükseltme (EoP) zafiyetini hedefliyor. ProfSvc, Windows'un kullanıcı hesaplarını ve ortamlarını yöneten kritik bir sistem bileşenidir. Araştırmacının açıklamalarına göre, PoC'nin çalışması için standart bir kullanıcı kimlik bilgisi ve üçüncü bir kullanıcı adı (yönetici hesabı olabilir) gerekiyor. Başarılı olması halinde, hedef kullanıcının kayıt defteri kovanı (hive) mevcut kullanıcının sınıflar köküne (classes root) bağlanıyor.
Chaotic Eclipse, PoC'yi kamusal istismarı önlemek için sadeleştirdiğini belirtti. Orijinal sürümde ek kullanıcı kimlik bilgisine ihtiyaç duyulmadığını ve 'usrclass.dat' kovanıyla sınırlı olmadığını ifade eden araştırmacı, 'Bu zafiyet kullanılarak herhangi bir kovan yüklenebilirdi, ancak PoC'nin bunu yapması için biraz beyin gücü gerekirdi' dedi. LegacyHive'i dikkat çekici kılan nokta, Temmuz 2026 Patch Salı güncellemelerini içeren en son sürümler de dahil olmak üzere tüm desteklenen Windows masaüstü ve sunucu sürümlerinde çalışabilmesi.
Chaotic Eclipse ile Microsoft arasındaki gerginlik, en az Nisan 2026'ya kadar uzanıyor. Araştırmacı, iletişim kopukluğu gerekçesiyle Microsoft'un yama hazırlamasına fırsat vermeden birden fazla istismarın ayrıntılarını yayınlamıştı. Bu ifşalardan üçü, Microsoft Defender'daki güvenlik açıklarıydı ve kamuya duyurulmasının hemen ardından aktif olarak istismar edilmeye başlandı. Ay başında Microsoft, araştırmacının ifşa ettiği RoguePlanet adlı başka bir Defender zafiyeti için güvenlik güncellemeleri yayınlamıştı. Ancak, bu kusuru gidermek için eklenen 'derinlemesine savunma güncellemelerinin', belirli senaryolarda bir dosya açmaya çalışırken Microsoft Defender'ın 8 bayt veri sızdırmasına neden olduğu ortaya çıktı.
Microsoft, The Hacker News'e yeni raporu araştırdığını bildirdi. Bir Microsoft sözcüsü, 'Microsoft, bildirilen güvenlik açığının farkındadır ve bu iddiaların geçerliliğini ve olası uygulanabilirliğini aktif olarak araştırmaktadır. Microsoft, güvenlik sorunlarını araştırmaya ve müşterileri korumak için etkilenen ürünleri mümkün olan en kısa sürede güncellemeye kararlıdır. Önemle belirtmek gerekir ki, müşterileri koruyan ve araştırma topluluğunu destekleyen, bulguların kamuya açıklanmadan önce kapsamlı bir şekilde araştırılmasını ve ele alınmasını sağlayan sektör standardı koordineli güvenlik açığı ifşasını destekliyoruz' dedi.
Detaylar ve Etkileri
Bu gelişmeler, Microsoft'un aktif olarak istismar edildiği tespit edilen SharePoint Server (CVE-2026-56164, CVSS 5.3) ve Active Directory Federation Services (CVE-2026-56155, CVSS 7.8) olmak üzere iki ayrıcalık yükseltme zafiyetini de içeren rekor sayıda hatayı yamaladığı bir döneme denk geldi. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), her iki zafiyeti de Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek Federal Sivil Yürütme Organı (FCEB) kurumlarının düzeltmeleri sırasıyla 17 Temmuz ve 28 Temmuz 2026'ya kadar uygulamasını zorunlu kıldı. CISA ayrıca, SharePoint Server'daki birden fazla zafiyetin (CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164) aktif olarak istismar edildiği konusunda uyardı. Bu zafiyetler, saldırganların savunmasız örneklere yetkisiz erişim sağlamasına, uzaktan kod yürütmesine (RCE) ve IIS makine anahtarlarını çalma, serileştirme teknikleri kullanarak kalıcılık sağlama ve kötü amaçlı yazılım dağıtma gibi sömürü sonrası faaliyetlerde bulunmasına olanak tanıyor.
Rapid7'den Adam Barnett, 'Yıllar süren görece istikrarın ardından, Patch Salı süreci 2026'da önemli bir türbülans yaşıyor. Yapay zeka destekli üstel büyüyen zafiyet raporlama ve keşfinin yanı sıra Microsoft, Redmond için maksimum rahatsızlık yaratacak şekilde ifşa edilen bir dizi güvenlik açığıyla boğuşuyor' yorumunu yaptı. Action1 CEO'su Alex Vovk ise CVE-2026-56164 için 'Kritik bir işlev için eksik kimlik doğrulama, saldırganın yetkilendirme gerektiren işlevselliğe erişmesine olanak tanıyor. Saldırgan, kimlik doğrulama gerektiren işlevselliğe erişmek için özel hazırlanmış ağ istekleri gönderebilir ve bu da ayrıcalık yükseltmeyle sonuçlanır. İnternete açık SharePoint sunucuları, saldırının geçerli kimlik bilgileri olmadan uzaktan gerçekleştirilebilmesi nedeniyle özellikle risk altındadır' dedi.
Temmuz 2026 güncellemeleri ayrıca, uzaktaki kimliği doğrulanmamış bir saldırganın savunmasız bir SharePoint sunucusunda kimlik doğrulamayı atlamasına ve SharePoint sitesi kullanıcısı veya yöneticisi olarak işlem yapmasına olanak tanıyan kritik bir SharePoint Server güvenlik özelliği atlama zafiyetini (CVE-2026-55040, CVSS 9.1) de gideriyor. Rapid7, bu zafiyetin JWT token doğrulama hattındaki birkaç sorundan kaynaklandığını ve başarılı bir istismarın, hedef SharePoint sitesinde kimlik doğrulama atlamasının yanı sıra ek zafiyetlerle zincirleme saldırılara da olanak tanıyabileceğini belirtti.
Teknik Analiz
Son olarak, araştırmacı Kevin Beaumont, LegacyHive istismarının çalıştığını ve yamalanmadığını doğrularken, Will Dormann ise bu PoC'nin yönetici olmayan bir kullanıcıya, bir yönetici kullanıcının sınıf kayıt defteri kovanını değiştirme yeteneği verdiğini ve bunun 'oldukça güçlü bir ilkel' olduğunu söyledi. Bu tür bir ayrıcalık, kötü niyetli bir kullanıcının sistemde kalıcılık elde etmesi veya diğer kullanıcıların oturumlarını manipüle etmesi için kullanılabilir. Microsoft'un bu yeni zafiyeti nasıl ele alacağı ve araştırmacıyla olan gerilimi nasıl yöneteceği merak konusu.
Kaynak: thehackernews.com