Önemli Güvenlik Açığı: BlueHammer
CISA, Microsoft Defender’da ciddi bir güvenlik açığı tespit edilerek ransomware çeteleri tarafından kötüye kullanıldığını doğruladı. Bu açığın önemi, daha önce sıfır gün saldırılarında da kullanılmış olmasıdır.
Saldırı Nasıl Çalışıyor?
BlueHammer olarak adlandırılan bu güvenlik açığı, CVE-2026-33825 kodu ile tanımlanmaktadır. Güvenlik araştırmacısı “Nightmare Eclipse” tarafından Nisan 2026’nın başlarında duyurulmuş ve bu durum Microsoft Güvenlik Yanıt Merkezi’nin (MSRC) açıklama sürecine yönelik bir protesto olarak gerçekleşmiştir.
Microsoft’un açıklamasına göre, “Microsoft Defender’daki erişim denetimleri yetersizdir ve bu da yetkili bir saldırganın yerel olarak yetki yükseltmesine izin verir.” Bu durum, saldırganların Güvenlik Hesap Yöneticisi (SAM) veritabanına erişim kazanarak yerel hesaplar için şifre karma değerlerine ulaşmasına olanak tanır. Bu erişim ile, saldırganlar SYSTEM ayrıcalıklarına yükselebilir ve hedef sistemin tamamen kontrolünü ele geçirebilirler.
Will Dormann, Tharros’ta kıdemli güvenlik uzmanı olarak, bu açığın kötüye kullanılmasının kolay olmadığını belirtse de, bir sistemin tamamen ele geçirilmesine yol açabileceğini ifade etmiştir.
Etkilenen Sistemler
Microsoft, bu güvenlik açığını Nisan 14 tarihinde, Nisan 2026 Güncelleme Salısı kapsamında düzeltmiştir. Ancak Hunter Labs araştırmacıları, açığın daha sonra sıfır gün olarak kullanıldığını ve “klavye başında” faaliyet gösteren saldırganların izlerini gösterdiğini ortaya koymuştur.
Nightmare Eclipse, son birkaç ayda Windows için başka sıfır gün açıkları da açıklamıştır. Bu açıklar, Microsoft Defender dışında BitLocker ve diğer Windows bileşenlerini de etkilemektedir. Microsoft, GreenPlasma, MiniPlasma ve YellowKey açıklarını da Nisan 2026 Güncelleme Salısı güncellemeleri ile düzeltmiştir.
Ransomware Çeteleri Tarafından Hedef Alındı
CISA, BlueHammer açığını 32 Nisan 22 tarihinde, Bilinen Kötüye Kullanılan Açıklar Kataloğu‘na eklemiştir. Federal Kamu İcra Dairesi (FCEB) ajanslarına, Windows cihazlarını bu saldırılara karşı onarmaları için iki haftalık bir süre verilmiştir.
CISA, “Bu tür bir zafiyet, kötü niyetli siber aktörler için sık kullanılan bir saldırı vektörüdür ve federal kuruluşlar için büyük riskler taşır.” uyarısında bulunmuştur. Microsoft henüz bu güvenlik açığını saldırılarda kullanıldığına dair bir etiket eklememiştir; ancak CISA, bu açığın ransomware kampanyalarında da exploit edildiğini belirtmiştir.
Çözüm ve Korunma
Okuyuculara, CVE-2026-33825 kodlu açık için aşağıdaki adımları izleyerek sistemlerinizi korumalarını öneriyoruz:
- Windows cihazlarınızı derhal güncelleyin.
- Güncellemeleri yüklendikten sonra, tüm güvenlik ayarlarınızı gözden geçirin.
- Olası şüpheli faaliyetler için sistemlerinizi izlemeye devam edin.
- Güvenlik yazılımlarınızı güncel tutun ve ek koruma önlemleri alın.
Bu zafiyetin farkında olmak ve gerekli koruma tedbirlerini almak, siber güvenliğinizi sağlamak açısından kritik önem taşımaktadır.
