Windows LegacyHive Zero-Day Açığı: Yönetici Yetkileri Tehlikede Yazılım

Windows LegacyHive Zero-Day Açığı: Yönetici Yetkileri Tehlikede

Nightmare Eclipse, Windows'ta yönetici yetkisi almayı sağlayan LegacyHive zero-day açığını yayınladı. PoC, kullanıcı profili hizmetini hedef alıyor.

Güvenlik araştırmacısı Nightmare Eclipse, Windows işletim sistemlerinde yönetici yetkileri ele geçirmeye olanak tanıyan yeni bir zero-day açığı olan LegacyHive'ı kamuoyuna duyurdu. Bu açık, en güncel Windows sürümlerinde bile çalışabiliyor. Araştırmacı, Microsoft'un Temmuz 2026 Patch Tuesday güncellemelerini yayınlamasından sadece saatler sonra bir proof-of-concept (PoC) kodu yayınladı. Açık, Windows Kullanıcı Profili Hizmeti'ndeki bir güvenlik zafiyetini kullanıyor ve henüz bir CVE kimliği atanmamış durumda. Bu durum, açığın takibini zorlaştırıyor.

Önceki sürümlerin aksine, LegacyHive PoC'si ek kimlik bilgileri gerektirecek şekilde değiştirilmiş. Nightmare Eclipse, 'PoC, standart bir kullanıcı hesabı ve üçüncü bir kullanıcı adı (yönetici hesabı olabilir) gerektiriyor. Başarılı olursa, hedef kullanıcının kayıt defteri kovanını mevcut kullanıcının sınıflar köküne bağlıyor' dedi. Araştırmacı, orijinal PoC'nin ek kimlik bilgisi gerektirmediğini ve usrclass.dat dışındaki kovanları da yükleyebildiğini, ancak kamuya açık istismarı önlemek için bu sürümü kısıtladığını belirtti.

Tharros'ta kıdemli güvenlik analisti Will Dormann, PoC'yi test ettikten sonra, başarılı bir istismarın yönetici olmayan kullanıcıların kayıt defteri kovanlarını değiştirmesine izin verdiğini ve yönetici hesabı sisteme giriş yaptığında otomatik kod çalıştırma sağladığını açıkladı. Dormann, 'Örnek olarak, .txt dosyalarını calc.exe ile açacak şekilde ilişkilendirebiliriz. Akıllı saldırganlar, kullanıcı etkileşimi gerektirmeyen daha ilginç şeyler yapmanın yolunu kolayca bulacaktır' dedi.

Sistem Güvenliği

PoC'nin yayınlanmasından bir gün sonra, siber güvenlik uzmanı Kevin Beaumont da açığın çalıştığını doğruladı ve Microsoft Defender for Endpoint (MDE) için LegacyHive istismar tespit sorguları yayınladı. Microsoft, BleepingComputer'a yaptığı açıklamada, 'Microsoft, bildirilen güvenlik açığının farkındadır ve iddiaların geçerliliğini ve olası uygulanabilirliğini aktif olarak araştırmaktadır. Microsoft, güvenlik sorunlarını araştırmaya ve müşterileri korumak için etkilenen ürünleri mümkün olan en kısa sürede güncellemeye kararlıdır' ifadelerini kullandı.

Nightmare Eclipse, son aylarda Microsoft Defender, BitLocker ve çeşitli Windows bileşenlerinde birden fazla zero-day açığı yayınladı. Bunlar arasında RoguePlanet, BlueHammer, RedSun, YellowKey, GreenPlasma, MiniPlasma ve UnDefend bulunuyor. Microsoft, Haziran 2026 Patch Tuesday güncellemelerinde GreenPlasma, MiniPlasma ve YellowKey açıklarını giderirken, RoguePlanet açığını da Temmuz güncellemelerinde düzeltti.

Microsoft, Nightmare Eclipse'in açıklamalarına 'müşterilerine gerçek zarar veren kötü niyetli faaliyetlerde bulunan kişilere karşı yasal işlem' uyarısıyla yanıt verdi. Bu durum, siber güvenlik uzmanlarının Microsoft'un doğrudan araştırmacıyı tehdit ettiği yönünde yorum yapmasına neden oldu. Kullanıcıların, sistemlerini güncel tutmaları ve şüpheli etkinliklere karşı dikkatli olmaları öneriliyor.

Kaynak: bleepingcomputer.com

Paylaş: