Windows'ta Yeni Sıfırıncı Gün Açığı: LegacyHive PoC, Microsoft'un Yamasını Gölgede Bıraktı Yazılım

Windows'ta Yeni Sıfırıncı Gün Açığı: LegacyHive PoC, Microsoft'un Yamasını Gölgede Bıraktı

Güvenlik araştırmacısı Chaotic Eclipse, Microsoft'un en son Patch Salı güncellemesinden saatler sonra Windows'un tüm sürümlerini etkileyen yeni bir ay

Microsoft, Temmuz 2026 Patch Salı güncellemesinde rekor sayıda 622 güvenlik açığını kapatırken, ünlü güvenlik araştırmacısı Chaotic Eclipse (Nightmare-Eclipse olarak da bilinir) yeni bir sıfırıncı gün açığı için kanıt kodu (PoC) yayınladı. LegacyHive adı verilen bu açık, Windows Kullanıcı Profili Hizmeti'ndeki (ProfSvc) bir ayrıcalık yükseltme zafiyetini hedefliyor. ProfSvc, kullanıcı hesaplarını ve ortamlarını yöneten temel bir sistem bileşeni olarak biliniyor.

Chaotic Eclipse'in açıklamasına göre, PoC'nin çalışması için geçerli bir standart kullanıcı kimlik bilgisi ve (yönetici hesabı olabilen) üçüncü bir kullanıcı adı gerekiyor. Başarılı olması halinde, hedef kullanıcının kayıt defteri kovanı (hive) mevcut kullanıcının sınıf köküne (classes root) bağlanıyor. Araştırmacı, orijinal exploit'in ek kullanıcı kimlik bilgisi gerektirmediğini ve yalnızca 'usrclass.dat' kovanıyla sınırlı olmadığını, herhangi bir kovanın yüklenebileceğini ancak bunun için biraz 'beyin hücresi' gerektiğini belirtti.

LegacyHive'i dikkat çekici kılan şey, Windows'un tüm desteklenen masaüstü ve sunucu sürümlerinde, hatta en son Temmuz 2026 Patch Salı güncellemesini çalıştıran sistemlerde bile çalışabilmesi. Chaotic Eclipse ve Microsoft arasındaki gerginlik en az Nisan 2026'dan beri devam ediyor; araştırmacı, iletişim kopukluğunu gerekçe göstererek Microsoft'un yama hazırlamasına fırsat vermeden birden fazla exploit'i kamuoyuna duyurmuştu. Bu açıklardan üçü, kamuya ifşa edildikten kısa süre sonra aktif olarak istismar edilmeye başlanmıştı.

Geçtiğimiz haftalarda Microsoft, araştırmacının ifşa ettiği RoguePlanet adlı başka bir Defender açığı için güvenlik güncellemesi yayınlamıştı. Ancak bu güncellemenin, dosya açma işlemleri sırasında Microsoft Defender'ın 8 baytlık veri sızıntısına neden olduğu ortaya çıktı. Microsoft, yeni raporu araştırdığını ve müşterileri korumak için etkilenen ürünleri güncellemeye kararlı olduğunu belirtti. Şirket ayrıca koordineli güvenlik açığı ifşasını (coordinated vulnerability disclosure) desteklediklerini vurguladı.

Nasıl Önlem Alınmalı?

Bu gelişmeler yaşanırken Microsoft, Patch Salı güncellemesinde aktif olarak istismar edildiği tespit edilen iki ayrıcalık yükseltme açığını da kapattı: SharePoint Server'daki CVE-2026-56164 (CVSS 5.3) ve Active Directory Federation Services'taki CVE-2026-56155 (CVSS 7.8). ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), her iki açığı da Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve federal kurumların bu açıkları sırasıyla 17 ve 28 Temmuz 2026'ya kadar kapatmasını zorunlu kıldı.

CISA ayrıca, CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164 dahil olmak üzere birden fazla SharePoint Server açığının aktif olarak istismar edildiğini duyurdu. Bu açıklar, saldırganların hassas SharePoint sunucularına yetkisiz erişim sağlamasına, uzaktan kod çalıştırmasına (RCE) ve IIS makine anahtarlarını çalarak kalıcılık elde etmesine olanak tanıyor. Action1 CEO'su Alex Vovk, CVE-2026-56164 için 'Kritik bir işlev için eksik kimlik doğrulama, saldırganın yetkilendirme gerektiren işlevlere erişmesine izin veriyor' dedi.

Temmuz 2026 güncellemesi ayrıca kritik bir SharePoint Server güvenlik özelliği atlatma açığını da (CVE-2026-55040, CVSS 9.1) gideriyor. Uzaktan kimlik doğrulaması yapmamış bir saldırganın, savunmasız bir SharePoint sunucusunda kimlik doğrulamasını atlayarak site kullanıcısı veya yöneticisi olarak işlem yapmasına izin veren bu açık, JWT token doğrulama hattındaki birden çok sorundan kaynaklanıyor. Rapid7'den Adam Barnett, 'Yıllar süren görece istikrarın ardından Patch Salı süreci 2026'da önemli bir türbülans yaşıyor' yorumunu yaptı. LegacyHive ise hala yamasız ve araştırmacı Kevin Beaumont, exploit'in çalıştığını ve yönetici olmayan bir kullanıcıya yönetici kullanıcının kayıt defteri kovanını değiştirme yetkisi verdiğini doğruladı.

Kaynak: thehackernews.com

Paylaş: