Microsoft'un Temmuz 2026 Patch Tuesday güncellemesi, rekor sayıda 622 güvenlik açığını kapatırken, güncellemenin hemen ardından yeni bir 0-day güvenlik açığına ait proof-of-concept (PoC) kodu kamuoyuyla paylaşıldı. Güvenlik araştırmacısı Chaotic Eclipse (Nightmare-Eclipse) tarafından yayınlanan LegacyHive adlı exploit, Windows Kullanıcı Profili Hizmeti'ndeki (ProfSvc) bir ayrıcalık yükseltme zafiyetini hedef alıyor. Bu hamle, araştırmacı ile Microsoft arasındaki gergin ilişkiyi bir kez daha gözler önüne serdi.
LegacyHive, Windows Kullanıcı Profili Hizmeti (ProfSvc) üzerinden 'arbitrary hive load' (keyfi hive yükleme) yaparak ayrıcalık yükseltmeye olanak tanıyor. ProfSvc, Windows'un kullanıcı hesaplarını ve ortamlarını yöneten temel bir sistem bileşeni. Araştırmacıya göre PoC, başarılı olduğunda hedef kullanıcının 'usrclass.dat' hive'ını mevcut kullanıcının sınıf kayıt defterine (classes root) monte ediyor. Ancak orijinal exploit, ek kullanıcı kimlik bilgisi gerektirmiyor ve yalnızca 'usrclass.dat' ile sınırlı değil; herhangi bir hive yüklenebiliyor. Araştırmacı, yayınlanan PoC'nin kötüye kullanımı önlemek için sadeleştirildiğini belirtti.
LegacyHive'i endişe verici kılan şey, Windows'un tüm desteklenen masaüstü ve sunucu sürümlerinde (en son Temmuz 2026 güncellemesi dahil) çalışıyor olması. Bu, milyonlarca sistemi potansiyel risk altına sokuyor. Güvenlik araştırmacıları Kevin Beaumont ve Will Dormann, PoC'nin çalıştığını ve yamalanmadığını doğruladı. Dormann, LegacyHive'in yönetici olmayan bir kullanıcıya, başka bir yönetici kullanıcının sınıf kayıt defterini değiştirme yetkisi verdiğini ve bunun 'oldukça güçlü bir ilkel işlem' olduğunu vurguladı.
Chaotic Eclipse ile Microsoft arasındaki anlaşmazlık Nisan 2026'ya kadar uzanıyor. Araştırmacı, iletişim kopukluğunu gerekçe göstererek, Microsoft yamaları hazırlamadan önce birden fazla exploitin detayını kamuoyuna duyurdu. Daha önce ifşa edilen üç Microsoft Defender açığı, kamuya duyurulduktan kısa süre sonra aktif olarak istismar edilmeye başlandı. Geçtiğimiz günlerde de araştırmacının keşfettiği RoguePlanet adlı Defender zafiyeti için güncelleme yayınlanmıştı; ancak bu güncellemenin bazı senaryolarda Defender'ın 8 bayt veri sızdırmasına neden olduğu ortaya çıktı. Microsoft, yeni raporu araştırdığını ve müşterilerini korumak için etkilenen ürünleri güncellemeye kararlı olduğunu belirtti.
Gelecekte Ne Bekleniyor?
Öte yandan, Patch Tuesday ile birlikte SharePoint Server'da aktif olarak istismar edilen iki ayrıcalık yükseltme açığı (CVE-2026-56164 ve CVE-2026-56155) de gündeme geldi. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açıkları Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve federal kurumlara 17-28 Temmuz 2026'ya kadar yama yapmalarını zorunlu kıldı. CISA ayrıca, CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164 dahil olmak üzere birden fazla SharePoint Server açığının aktif olarak istismar edildiğini duyurdu. Bu açıklar, yetkisiz erişim, uzaktan kod çalıştırma (RCE) ve IIS makine anahtarlarının çalınması gibi sömürü sonrası faaliyetlere olanak tanıyor.
Temmuz 2026 güncellemesi ayrıca SharePoint Server'da kritik bir güvenlik özelliği atlatma açığını (CVE-2026-55040, CVSS 9.1) de gideriyor. Bu açık, kimliği doğrulanmamış uzak bir saldırganın SharePoint sunucusunda kimlik doğrulamasını atlamasına ve site kullanıcısı veya yöneticisi olarak işlem yapmasına izin veriyor. Rapid7'ye göre zafiyet, JWT token doğrulama hattındaki birden fazla sorundan kaynaklanıyor ve başarılı bir istismar, saldırganın hedef siteye kimliğine büründüğü kullanıcı olarak erişmesini sağlıyor. Bu kimlik doğrulama atlatma, diğer güvenlik açıklarıyla zincirlenerek daha geniş çaplı saldırılara yol açabiliyor.
Tüm bu gelişmeler, 2026 yılının Patch Tuesday süreçleri açısından oldukça çalkantılı geçtiğini gösteriyor. Rapid7'den Adam Barnett, yapay zeka destekli güvenlik açığı keşiflerindeki üstel artışın yanı sıra, Microsoft'un kamuya ifşa edilen açıklarla başa çıkmakta zorlandığını belirtiyor. Kullanıcıların, özellikle SharePoint Server ve Windows sistemlerini güncel tutmaları, LegacyHive gibi 0-day açıklara karşı savunma katmanları oluşturmaları ve ağ güvenliği önlemlerini sıkılaştırmaları kritik önem taşıyor. Microsoft'un resmi yamayı ne zaman yayınlayacağı ise merak konusu.
Kaynak: thehackernews.com