Microsoft Defender’da “RedSun” Sıfırıncı Gün Açığı: Tehditler ve Çözüm Yöntemleri
Son günlerde, “Chaotic Eclipse” olarak bilinen bir araştırmacı, Microsoft Defender’da bulunan “RedSun” isimli ikinci bir sıfırıncı gün açığı için bir kanıt-of-kavram (PoC) istismar paylaştı. Bu açıklığın önemi, Windows 10, Windows 11 ve Windows Server’da sistem ayrıcalıklarına ulaşılmasını sağlamasıdır.
Saldırı Nasıl Çalışıyor?
RedSun açığı, Windows Defender’ın kötü niyetli bir dosyanın bulut etiketine sahip olduğunu fark ettiğinde, dosyayı tekrar orijinal konumuna kaydetme davranışını kötüye kullanmaktadır. Araştırmacı, “Windows Defender, kötü niyetli bir dosyanın bulut etiketine sahip olduğunu fark ettiğinde, bu dosyayı tekrar orijinal konumuna yazmak iyi bir fikir olduğunu düşünüyor,” şeklinde açıklama yapmıştır.
Bu PoC, sistem dosyalarını üzerine yazarak yönetici ayrıcalıkları elde etmektedir. Will Dormann, Tharros’tan kıdemli bir güvenlik analisti, bu açığın, tamamen yamanmış Windows 10, Windows 11 ve Windows Server 2019 ve sonraki sürümlerde SYSTEM ayrıcalıkları sağladığını doğrulamıştır.
Etkilenen Sistemler
- Windows 10
- Windows 11
- Windows Server 2019 ve sonrası
Çözüm ve Korunma
CVE-2026-33825 koduyla izlenen önceki bir açığa, “BlueHammer” adı verilmiştir ve Microsoft bu açığı bu ayki Yamanma Salısı güvenlik güncellemeleriyle düzeltmiştir. Ancak, RedSun açığı hala bir tehdit oluşturmaktadır ve bu nedenle kullanıcıların aşağıdaki adımları atması önerilmektedir:
- Windows sistemlerinizi güncelleyin.
- Yetersiz kullanıcı ayrıcalıkları atayın ve sadece ihtiyaç duyduğunuz hizmetleri çalıştırın.
- Güvenlik duvarını kontrol edin ve gerekli portları kapatın.
Eğer hızlı bir çözüm arıyorsanız, “Chaotic Eclipse” araştırmacısının bu süreçte yaşadığı zorluklar, Microsoft’un güvenlik açıklarını ele alma yöntemlerine dair daha fazla ciddiyet ve iş birliği talep etmektedir. Sonuç olarak, düzenli sistem güncellemeleri ve güvenlik önlemlerinin alınması hayati önem taşımaktadır.
