Microsoft Defender Açıklıklarına Dikkat!
CISA, ABD hükümet ajanslarına, Microsoft Defender üzerindeki bir yetki yükseltme açığının kapatılması için iki haftalık süre tanıdı. Bu açık, sıfırıncı gün saldırılarında istismar edilmiş olup, sistemlerin güvenliği açısından büyük bir tehdit oluşturuyor.
Açığın Tanımı ve Etkileri
CVE-2026-33825 koduyla takip edilen bu yüksek öncelikli güvenlik kusuru, düşük ayrıcalıklara sahip yerel tehdit aktörlerinin yamanmamış cihazlar üzerinde SYSTEM izinleri elde etmesine olanak tanıyor. Açığın temel nedeni, yetersiz erişim kontrolü granülasyonu olarak belirtiliyor. Microsoft, bu açığı 14 Nisan’da bu ayki Patch Tuesday etkinliğiyle birlikte yamanmıştı. Bir haftalık süre içerisinde, “Chaotic Eclipse” takma adıyla bilinen bir güvenlik araştırmacısı, açığın istismarına yönelik kanıt-of-concept (PoC) kodunu yayımlayarak Microsoft’un güvenlik yanıt süreçlerini protesto etti.
Chaotic Eclipse, Microsoft Defender üzerindeki bir başka yetki yükseltme açığını (“RedSun”) ve standart bir kullanıcı olarak Defender tanım güncellemelerini engelleyebilen üçüncü bir açığı (bilinen adıyla UnDefend) da gün yüzüne çıkardı. Açıkların yayımlandığı dönemde, Microsoft’un tanımına göre bu üç açık, resmi yamanın bulunmaması nedeniyle sıfırıncı gün olarak değerlendirilmişti.
Saldırı Nasıl Çalışıyor?
Araştırmacılar, bu sıfırıncı gün açıklarının kötü niyetli aktörler tarafından çeşitli saldırılarda kullanıldığını ortaya koydu, bu saldırılarda “hands-on-keyboard” aktiviteleri gözlemlendi. Huntress Labs, 16 Nisan’da yayımladığı bir raporda, bu tür aktivitelerin daha geniş bir içeriğin parçası olduğunu ve yalnızca tereddütlü PoC testleriyle sınırlı olmadığını belirtti. Raporda, Rusya’ya geolokasyonu yapılmış bir IP adresinin dahil olduğu şüpheli FortiGate SSL VPN erişimleri de tespit edildi.
Etkilenen Sistemler
Bu açıklardan etkilenen sistemler arasında aşağıdakiler bulunmaktadır:
- Windows 11
- Windows Server 2025
- Yamanmamış Microsoft Defender içeren diğer Windows cihazları
Çözüm ve Korunma
CISA, CVE-2026-33825 açıklarını içeren bu durumu değerlendirdi ve Federal Civilian Executive Branch (FCEB) ajanslarına, Windows sistemlerini 7 Mayıs’a kadar güncellemeleri talimatını verdi. CISA, bu tür açıkların kötü niyetli siber aktörler için sıkça kullanılan bir saldırı vektörü olduğunu ve federal işletmeler için önemli riskler taşıdığını vurguladı.
Öneriler:
- Tüm sistemlerinizi güncelleyin, özellikle Microsoft Defender için mevcut yamaları uygulayın.
- Herhangi bir ürünün çözümü mevcut değilse, kullanımı durdurun.
- CISA’nın sunduğu BOD 22-01 kılavuzunu takip edin.
Son olarak, geçtiğimiz hafta CISA, Windows Task Host üzerindeki bir diğer yetki yükseltme açığının (CVE-2025-60710) da aktif şekilde saldırılara maruz kaldığını duyurdu. Bu açığın da sistemlerde SYSTEM izinleri elde edilmesine imkan tanıdığı belirtildi. Güvenliğiniz için bu açıklar üzerinde dikkatli olmalısınız.
