Tam güncellenmiş bir Windows 11 sisteminde, kamuya açık yalnızca 50 satırlık bir kod parçası, bilgisayarın SYSTEM ayrıcalıklarını ele geçirmek için yeterli olabilir. BleepingComputer'ın doğruladığı bu durum, Microsoft'un 2020 Aralık ayında CVE-2020-17103 etiketi altında düzelttiği iddia ettiği bir güvenlik açığının, Mayıs 2026 Patch Tuesday güncellemelerini almış sistemlerde hala aktif olduğunu gösteriyor.
Chaotic Eclipse takma adını kullanan bir güvenlik araştırmacısı, MiniPlasma olarak adlandırdığı bu açık için çalışan istismar kodunu kamuya açıkladı. Kod, Windows 11 Pro üzerinde test edildiğinde beklendiği gibi işledi ve SYSTEM düzeyinde bir komut istemi açtı—işletim sistemindeki en yüksek yetki seviyesi.
MiniPlasma'nın teknik yapısı: HsmOsBlockPlaceholderAccess zafiyeti
MiniPlasma açığı, Windows'un Cloud Filter sürücüsü (cldflt.sys) içindeki HsmOsBlockPlaceholderAccess fonksiyonunu hedefliyor. Bu sürücü, OneDrive gibi bulut depolama uygulamalarının dosyaları talep üzerine indirmesi için kullanılan bir sistem bileşeni.
Açık, bu API'nin kötüye kullanımına dayanıyor. Normalde bulut dosya senkronizasyonu işlemlerini durdurmak için kullanılan çağrılar, belirli bir sırayla yapıldığında ayrıcalık yükseltmesine izin veriyor.
Sürücü düzeyinde çalışan cldflt.sys, çekirdek modu ayrıcalıklarıyla çalıştığından, içindeki bir güvenlik açığı doğrudan işletim sisteminin en kritik seviyesine erişim sağlayabilir. İstismar başarılı olduğunda, sınırlı ayrıcalıklarla çalışan bir kullanıcı hesabı bile SYSTEM seviyesine yükselebilir—bu, tüm dosyalara erişim, sistem yapılandırmasını değiştirme ve güvenlik yazılımlarını devre dışı bırakma yetkisi anlamına gelir.
BleepingComputer, açığı laboratuvar ortamında test etti ve istismar kodunun tam güncellenmiş Windows 11 Pro sisteminde çalıştığını onayladı. Test sonucunda SYSTEM ayrıcalıklarıyla bir komut istemi açıldı.
2020'deki "düzeltmenin" muamması
CVE-2020-17103, Microsoft tarafından Aralık 2020'de tanımlandı ve düzeltildi olarak kaydedildi. Ancak 2026 Mayıs ayı itibarıyla, yani tam beş buçuk yıl sonra, aynı açık hala işleyen tüm Windows 11 sistemlerinde mevcut.
Microsoft'un ilk düzeltmesinin ne olduğu veya neden başarısız olduğu konusunda net bir açıklama yok. Olasılıklar şunlar:
- Düzeltme hiçbir zaman düzgün uygulanmadı - Düzeltme sonradan uyumluluk sorunları nedeniyle geri alındı - Düzeltme yalnızca semptomları gizledi, kök nedeni çözmedi - CVE-2020-17103 farklı bir sorunu adreslemişti ve bu açık hiçbir zaman düzeltilmedi
Normal güvenlik güncellemesi döngüsünde, böyle bir açık beş yıl boyunca göz ardı edilmemelidir—özellikle CVE etiketi ve "düzeltildi" durumu atandıktan sonra.
Açığın Windows 11 Insider Preview Canary yapısında çalışmaması önemlidir. Bu, Microsoft'un bir düzeltme geliştirdiğini gösteriyor. Ancak bu düzeltme henüz kararlı sürümlere ulaşmamış, milyonlarca kullanıcı hala açığa karşı korumasız.
Araştırmacının kamu ifşası stratejisi ve motivasyonu
Chaotic Eclipse, son haftalarda altı ayrı Windows güvenlik açığı için istismar kodları yayınladı: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma ve MiniPlasma. Bu açıklamaların hepsi kamuya açık GitHub depolarında, çalışan kod örnekleriyle birlikte paylaşıldı.
Araştırmacının bu saldırgan stratejisinin arkasında açık bir protesto var. Chaotic Eclipse, Microsoft'un hata ödülü programı ve güvenlik açığı yönetim sürecine yönelik hoşnutsuzluğunu dile getiriyor. Geleneksel "sorumlu ifşa" sürecinde, araştırmacılar açıkları önce şirkete bildirip düzeltilmesini bekler, ardından herkese açık detayları paylaşır. Bu durumda araştırmacı, bu süreci atladı ve doğrudan kamu ifşasını seçti.
Bu yaklaşım tehlike taşıyor. Saldırganlar düzeltmeden önce açığı istismar etme fırsatı buluyor. Chaotic Eclipse'in daha önceki açıklamaları, bu endişeyi doğrulayan sonuçlara yol açtı. Araştırmacının daha önce kamuya açıkladığı üç güvenlik açığının, gerçek saldırılarda kullanıldığı tespit edildi. Bu, kamuya açık istismar kodlarının teorik bir tehlike olmadığını, fiili siber saldırı kampanyalarında kullanıldığını gösteriyor.
Güvenlik açığı istismar zincirindeki rolü
MiniPlasma tek başına bir saldırı aracı değil—tam bir güvenlik ihlali için bir zincirin parçası. Saldırganın bu açığı kullanabilmesi için, sistemde zaten bir şekilde kod çalıştırabilir durumda olması gerekir. Yani MiniPlasma bir "ayrıcalık yükseltme" açığıdır, ilk erişim sağlamaz.
Tipik bir saldırı senaryosu şöyle işler:
1. Saldırgan, kimlik avı e-postası, kötü amaçlı ek veya güvenliği ihlal edilmiş yazılım üzerinden kullanıcı düzeyinde sisteme erişim sağlar 2. Bu noktada sınırlı haklara sahiptir—kendi kullanıcı hesabının dosyalarına erişebilir ama sistem ayarlarını değiştiremez 3. MiniPlasma gibi bir ayrıcalık yükseltme açığını kullanarak SYSTEM seviyesine çıkar 4. Artık tüm sistem üzerinde tam kontrol sahibidir: güvenlik yazılımlarını devre dışı bırakabilir, kalıcılık mekanizmaları kurabilir, tüm kullanıcı verilerine erişebilir
MiniPlasma, fidye yazılımı saldırılarında, gelişmiş kalıcı tehdit (APT) kampanyalarında ve hedefli saldırılarda kritik bir araç haline gelebilir. Özellikle Chaotic Eclipse'in önceki açıklarının gerçek saldırılarda kullanıldığı göz önüne alındığında, MiniPlasma'nın da benzer şekilde kötüye kullanılma riski yüksek.
Insider Canary yapısındaki durum ne anlama geliyor
BleepingComputer'ın testi, MiniPlasma istismarının Windows 11 Insider Preview Canary kanalındaki en son yapıda çalışmadığını gösterdi. Bu Microsoft'un bir düzeltme geliştirdiğini gösteriyor.
Bir güvenlik düzeltmesinin Canary'de görünmesi, normal geliştirme akışına uygun. Ancak Canary'den kararlı sürüme geçiş aylar alabiliyor. Bu süre zarfında, milyonlarca Windows 11 kullanıcısı açığa karşı korumasız kalıyor.
Sürücü imza zorlaması ve koruma düzeyleri
Modern Windows sistemleri, çekirdek modunda çalışan sürücülerin Microsoft tarafından imzalanmış olmasını gerektirir. MiniPlasma gibi açıklar, bu koruma mekanizmasını aşmak için kullanılır.
Cloud Filter sürücüsü (cldflt.sys) Microsoft tarafından imzalanmış ve güvenilir bir sistem bileşeni. İçindeki açık, imza kontrollerini atlamanın yolu olabilir. Saldırganın kendi sürücüsünü yüklemesine gerek yok—zaten sistemde bulunan güvenilir bir sürücüyü kötüye kullanıyor.
Bu, "living off the land" (yerleşik araçlarla yaşama) saldırı tekniğine bir örnek. Saldırganlar, sistemin kendi bileşenlerini kullandıklarında, antivirüs yazılımları tarafından tespit edilme olasılıkları düşüyor.
Kurumsal ağlarda yanal hareket ve ayrıcalık yükseltme
Bireysel kullanıcılar için MiniPlasma, önce başka bir açık istismar edilmedikçe doğrudan tehdit oluşturmuyor. Ancak kurumsal ortamlarda durum farklı.
Şirket ağlarında, bir uç nokta ele geçirildikten sonra saldırganlar ağ içinde yanal hareket etmeye çalışır. Her atladıkları sistemde ayrıcalık yükseltme açıkları, hareket kabiliyetlerini artırır. MiniPlasma gibi açıklar saldırganların etki alanı yönetici hesaplarına erişmesini, kritik sunuculara lateral hareket etmesini, ağ genelinde kalıcılık sağlamasını ve güvenlik sistemlerini devre dışı bırakmasını kolaylaştırıyor.
Fidye yazılımı çeteleri, ayrıcalık yükseltme açıklarını saldırı zincirlerinin standart parçası haline getirdi. Bir şirket ağına sızdıktan sonra, mümkün olduğunca çok sisteme SYSTEM seviyesinde erişim sağlamak, şifreleme işlemini hızlandırıyor ve veri sızıntısını kolaylaştırıyor.
Microsoft'un iletişim sorunu
Bu olayın teknik yönleri kadar, Microsoft'un iletişim ve süreç yönetimi de sorgulanmalı. CVE-2020-17103 "düzeltildi" olarak işaretlendiyse ve beş yıl sonra hala istismar edilebiliyorsa, burada ciddi bir takip sorunu var.
Güvenlik açığı yönetiminde şeffaflık kritik. Kullanıcılar ve sistem yöneticileri, hangi açıkların düzeltildiğini, hangi sistem sürümlerinin etkilendiğini ve ne tür geçici çözümlerin mevcut olduğunu bilmek zorunda. Bu durumda CVE durumu güncel değil, düzeltmenin neden başarısız olduğuna dair açıklama yok, kararlı sürüme ne zaman geleceğine dair takvim yok.
Chaotic Eclipse'in protestosunun bir kısmı, işte tam olarak bu iletişim ve süreç sorunlarına yönelik. Hata ödülü programları sadece para mekanizması değil—aynı zamanda araştırmacılarla şirket arasında güven köprüsü. Bu güven koptuğunda, araştırmacılar kamu ifşasını tercih edebiliyor.
Kurumsal yanıt: bekleme ve katmanlı savunma
MiniPlasma'nın istismar edilebilmesi için saldırganın sisteme zaten erişmiş olması gerektiğini göz önünde bulundurarak, birincil savunma temel güvenlik hijyeni kalmalıdır: kimlik avı koruması, uç nokta güvenliği, en az ayrıcalık prensibi.
Microsoft'un bir düzeltme geliştirdiği açık—Canary kanalında görülüyor. Windows Update kanallarını ve Insider Preview notlarını yakından izle. Canary'de görünen düzeltme, önümüzdeki haftalar veya aylar içinde Release Preview ve ardından kararlı kanallara geçecektir.
EDR (Endpoint Detection and Response) çözümleri, ayrıcalık yükseltme denemelerini izleyebilir. MiniPlasma gibi açıklar istismar edildiğinde, olağandışı SYSTEM seviyesi işlem yaratma davranışları tetikler ve bunlar EDR'ler tarafından işaretlenebilir.
Düzeltme yayınlanana kadar diğer katmanlı savunmaların sağlam olduğundan emin ol. Tek bir açık modern bir işletmeyi tehlikeye atmak için yeterli değildir, ancak katmanlı savunmaların her biri önemlidir.
