Siber güvenlik araştırmacısı Chaotic Eclipse (Nightmare-Eclipse olarak da bilinir), LegacyHive adını verdiği yeni bir proof-of-concept (PoC) istismar kodu yayınladı. Bu kod, Windows User Profile Service (ProfSvc) bileşeninde bulunan ve rastgele bir kovan yüklenmesine izin veren bir ayrıcalık yükseltme zafiyetini hedef alıyor. ProfSvc, kullanıcı hesaplarını ve ortamlarını yöneten kritik bir sistem bileşeni olarak biliniyor.
Chaotic Eclipse, PoC’nin çalışması için standart bir kullanıcı kimlik bilgisi ve üçüncü bir kullanıcı adı (yönetici hesabı olabilir) gerektiğini belirtti. Başarılı olması durumunda, hedef kullanıcının kovanı geçerli kullanıcının sınıflar köküne bağlanıyor. Araştırmacı, istismarın kamuya açık kullanımı önlemek için sadeleştirildiğini, orijinal sürümün ek kullanıcı kimlik bilgisi gerektirmediğini ve sadece 'usrclass.dat' kovanı ile sınırlı olmadığını ekledi. 'Herhangi bir kovan yüklenebilir, ancak PoC’yi buna göre uyarlamak için biraz beyin gücü gerekir' ifadelerini kullandı.
Bu zafiyetin dikkat çekici yanı, en son Temmuz 2026 Patch Tuesday güncellemelerini çalıştıranlar da dahil olmak üzere Windows’un tüm desteklenen masaüstü ve sunucu sürümlerinde çalışması. Chaotic Eclipse ve Microsoft arasında en az Nisan 2026’dan bu yana süren sert bir anlaşmazlık var. Araştırmacı, iletişim kopukluğunu gerekçe göstererek, Microsoft’un yamalamasına fırsat vermeden birden fazla istismarın detaylarını yayınlıyor. Örneğin, Microsoft Defender’daki üç güvenlik açığının kamuya açıklanmasından kısa süre sonra aktif olarak istismar edildiği bildirildi.
Microsoft, The Hacker News’e yaptığı açıklamada yeni raporu araştırdığını doğruladı. Bir Microsoft sözcüsü, 'Rapor edilen zafiyetin farkındayız ve geçerliliğini aktif olarak araştırıyoruz. Müşterileri korumak için etkilenen ürünleri güncellemeye kararlıyız. Koordineli güvenlik açığı ifşasını destekliyoruz; bu, araştırmaların kamuya açıklanmadan önce kapsamlı bir şekilde incelenmesini ve ele alınmasını sağlayarak müşterileri ve araştırma topluluğunu korur' dedi.
Bu gelişme, Microsoft’un rekor seviyede 622 güvenlik açığını yamaladığı Temmuz 2026 Patch Tuesday güncellemelerinin hemen ardından geldi. Bu yamalar arasında, aktif olarak istismar edilen iki ayrıcalık yükseltme zafiyeti de bulunuyor: SharePoint Server’da (CVE-2026-56164, CVSS puanı: 5.3) ve Active Directory Federation Services’ta (CVE-2026-56155, CVSS puanı: 7.8). ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), her iki zafiyeti de Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve federal kurumların düzeltmeleri sırasıyla 17 ve 28 Temmuz 2026’ya kadar uygulamasını zorunlu kıldı.
CISA, ayrıca SharePoint Server’daki CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164 gibi birden fazla zafiyetin aktif istismarı konusunda uyardı. Bu zafiyetler, saldırganların hassas örneklere yetkisiz erişim sağlamasına olanak tanıyor. 'Bu zafiyetler, tüm desteklenen şirket içi SharePoint Server sürümlerini (Subscription Edition, 2019 ve 2016) etkiliyor ve uzaktan kod yürütme (RCE) ve istismar sonrası faaliyetler (IIS makine anahtarlarını çalma, serileştirme teknikleri kullanma gibi) içeriyor' dedi. Action1 CEO’su Alex Vovk, CVE-2026-56164 için 'Kritik bir işlev için kimlik doğrulamanın eksik olması, saldırganın yetkilendirme gerektiren işlevselliğe ulaşmasını sağlıyor' yorumunu yaptı.
İnternete açık SharePoint sunucuları, saldırının geçerli kimlik bilgileri olmadan uzaktan gerçekleştirilebilmesi nedeniyle özellikle risk altında. Temmuz 2026 güncellemesi ayrıca, uzaktaki kimliği doğrulanmamış bir saldırganın SharePoint sunucusundaki kimlik doğrulamayı atlayarak site kullanıcısı veya yöneticisi olarak işlem yapmasına izin veren kritik bir SharePoint Server güvenlik özelliği atlatma zafiyetini (CVE-2026-55040, CVSS puanı: 9.1) de gideriyor. Rapid7, zafiyetin JWT token doğrulama işlem hattındaki birkaç sorundan kaynaklandığını belirtti. Araştırmacı Kevin Beaumont, LegacyHive istismarının çalıştığını ve yamalanmadığını doğrularken, Will Dormann bu zafiyetin yönetici olmayan bir kullanıcıya yönetici kullanıcının sınıflar kayıt defteri kovanını değiştirme yetkisi verdiğini ve bunun 'oldukça güçlü bir ilkel' olduğunu söyledi.
Kaynak: thehackernews.com