Nightmare Eclipse'den Yeni Windows Zero-Day: 'LegacyHive' ile Ayrıcalık Yükseltme Tehlikesi Yazılım

Nightmare Eclipse'den Yeni Windows Zero-Day: 'LegacyHive' ile Ayrıcalık Yükseltme Tehlikesi

Nightmare Eclipse, Windows User Profile Service'de LegacyHive adlı yeni bir sıfırıncı gün açığı yayınladı. Zafiyet, yönetici hesaplarının registry hiv

Güvenlik araştırmacısı Nightmare Eclipse (Chaotic Eclipse olarak da bilinir), Microsoft ürünlerine yönelik sıfırıncı gün açıklarını ifşa etmeye devam ediyor. Son olarak, Temmuz 2026 Patch Tuesday gününde Windows işletim sisteminde henüz yamamamış bir zafiyet yayınladı. 'LegacyHive' adı verilen bu açık, Windows User Profile Service'de yerel ayrıcalık yükseltmeye izin veren bir güvenlik kusuru. Saldırgan, bu zafiyet sayesinde yönetici hesapları da dahil olmak üzere diğer kullanıcıların kayıt defteri kovanlarına (hive) yükleyebiliyor.

Nightmare Eclipse, Microsoft'un Temmuz 2026 güncellemelerinin yüklü olduğu sistemlerde çalışan bir proof-of-concept (PoC) istismar kodu yayınladı. Araştırmacıya göre PoC, başka bir standart kullanıcının kimlik bilgilerini ve üçüncü bir kullanıcı adını (yönetici hesabı olabilir) gerektiriyor. İstismar başarılı olduğunda, hedef kullanıcının kayıt defteri kovanı, mevcut kullanıcının sınıf kökü (classes root) altına monte ediliyor.

Nightmare Eclipse'in daha önce yayınladığı sıfırıncı gün açıklarının aksine, LegacyHive sınırlı bir PoC ile yayınlandı. Araştırmacı, istismarın orijinal halinin herhangi bir kullanıcı kimlik bilgisi gerektirmediğini ve sadece usrclass.dat kovanı değil, herhangi bir kovanın yüklenmesine izin verdiğini belirtiyor. Ancak bu özelliklerin hâlâ mümkün olduğunu, ancak biraz çalışma gerektirdiğini ekliyor.

Sonuç ve Değerlendirme

Bugüne kadar Nightmare Eclipse, Microsoft ürünlerinde altıdan fazla sıfırıncı gün açığı yayınladı. Bunlar arasında BlueHammer, RedSun ve UnDefend gibi saldırılarda kullanılan açıkların yanı sıra GreenPlasma, RoguePlanet, YellowKey ve GreatXML de bulunuyor. Microsoft, LegacyHive açığıyla ilgili henüz bir açıklama yapmadı. SecurityWeek, konuyla ilgili Microsoft'a e-posta gönderdi ve yanıt gelmesi durumunda makaleyi güncelleyecek.

LegacyHive zafiyeti, Windows User Profile Service'deki bir ayrıcalık yükseltme hatası. Bu hizmet, kullanıcı profillerini yönetir ve her kullanıcı için bir kayıt defteri kovanı (NTUSER.DAT ve usrclass.dat) içerir. Zafiyet, düşük ayrıcalıklı bir kullanıcının, yönetici gibi başka bir kullanıcının kovanını yüklemesine olanak tanıyor. Bu sayede saldırgan, hedef kullanıcının kayıt defteri ayarlarını değiştirebilir veya hassas bilgilere erişebilir.

Bu açık, özellikle kurumsal ortamlar için ciddi bir tehdit oluşturuyor. Yerel ayrıcalık yükseltme zafiyetleri, genellikle kötü amaçlı yazılımların sistemde kalıcılık sağlaması veya hassas verilere erişmesi için kullanılır. Kullanıcıların, Microsoft'un yayınlayacağı güvenlik güncellemelerini beklemesi ve bu süreçte en az ayrıcalık ilkesini uygulaması, güvenlik duvarlarını ve uç nokta koruma çözümlerini güncel tutması önerilir. Ayrıca, bilinmeyen kaynaklardan gelen PoC kodlarının çalıştırılmaması da önemli bir güvenlik önlemidir.

Kaynak: securityweek.com

Paylaş: