Microsoft-araştırmacı çatışması açıkları herkese açtı
Chaotic Eclipse adlı güvenlik araştırmacısı, Windows Defender'da keşfettiği üç açığı Microsoft Security Response Center (MSRC) ile paylaştı. Araştırmacı, Microsoft'un yaklaşımını yetersiz bulduğunu belirterek, GitHub'da BlueHammer, RedSun ve UnDefend olarak adlandırılan açıkların exploit kodlarını yayınladı. Bu karar, sorumlu açıklama (responsible disclosure) protokolünü önemli ölçüde ihlal etti ve siber güvenlik topluluğunda tartışma yarattı.
Arştırmacı ve Microsoft arasındaki anlaşmazlık, büyük teknoloji şirketlerinin güvenlik açıklarına tepki hızı konusunda uzun süredir devam eden soruları yeniden gündeme getirdi. Chaotic Eclipse'nin eylemi, kamuoyu baskısı yoluyla hızlı eylem elde etmeyi amaçlıyordu; ancak sonucu, siber suçluların ve devlet destekli hacker gruplarının eline hazır araç kitleri vermek oldu.
Üç açığın tehdit profilleri
Huntress siber güvenlik şirketi tarafından gözlenen üç açık, Microsoft Defender antivirüs yazılımının kalbinde yer alıyor.
BlueHammer, yerel ayrıcalık yükseltme (Local Privilege Escalation - LPE) saldırılarına olanak tanıyor. Saldırganlar, sınırlı erişim sahibiyken kendilerini SYSTEM seviyesine yükseltebiliyor. Microsoft bu açığı CVE-2026-33825 olarak takip ederek haftalık güncelleme döngüsünün dışında bir yama yayınladı.
RedSun açığı da bir LPE açığıdır ve yazının hazırlandığı tarih itibarıyla yamanmamış durumda. Microsoft Defender aktif olsa bile SYSTEM ayrıcalıkları elde etmek için kullanılabiliyor. Exploit kodu kamuya açık olmasına rağmen Microsoft henüz bir düzeltme yayınlamadı.
UnDefend, hizmet reddi (Denial of Service - DoS) saldırılarına olanak tanıyor. Saldırganlar bu açığı kullanarak Microsoft Defender'ı işlemez hale getirebiliyor. Bu açık da henüz yamlanmamış durumda.
Gerçek dünya saldırıları başladı
Huntress, etkilenen bir kuruluşta bu açıkların istismar edildiğini tespit etti. Şirketin SOC ekibi hızlı müdahale yaparak sistemi ağdan izole etti ve saldırganların ek faaliyetlerini engeledi.
Ancak tüm kuruluşlar bu seviyede 24/7 izleme kapasitesine sahip değil. Microsoft yamalarını yayınlayana kadar, milyonlarca Windows sistemi savunmasız durumda kalıyor.
Exploit kodunun kamuya açık olmasının sonuçları
Geleneksel olarak, sıfır gün açıkları çok değerli varlıklardır ve yüz binlerce dolara satılır. Chaotic Eclipse'nin eylemiyle bu üç açık aniden herkesin malı oldu. Artık orta düzey teknik bilgiye sahip herkes bu açıkları kullanarak saldırı düzenleyebiliyor.
Bu durum, siber suçluların ve devlet destekli hackerların işini önemli ölçüde kolaylaştırdı. Pahalı sıfır gün satın almalarına veya kendi açıklarını keşfetmelerine artık gerek yok. Eskiden yalnızca sofistike APT gruplarının erişebildiği yetenekler, şimdi daha küçük suçlu örgütleri ve deneyimsiz saldırganların elinde.
Geçici hafifletme stratejileri
Sürdürülebilir yamalar verilene kadar güvenlik uzmanları geçici önlemler öneriyorlar:
- Erişim kontrollerini sıkılaştırmak: En az ayrıcalık prensipleri ve çok faktörlü kimlik doğrulama, saldırganların sisteme girişini zorlaştırıyor. - Uç nokta algılama ve yanıt (EDR) araçları: Davranışsal anomalileri gerçek zamanlı olarak tespit eden araçlar, bilinen imzalara güvenmeyen bir yaklaşım sunar. - Ağ segmentasyonu: Bir sistem ele geçirilse bile, doğru segmente edilmiş ağlarda yanal hareket zorluk çeker.
Microsoft'un tepkisinin değerlendirilmesi
Microsoft, BlueHammer için hızlı yama yayınlayarak koordineli açıklama sürecini desteklediğini belirtti. Ancak RedSun ve UnDefend'in hala açık kalması, şirketin risk değerlendirmesi konusunda sorular yaratıyor. Exploit kodları kamuya açıklandıktan sonra, koordineli açıklama süreci temelden çökmüştür. Bu durum, büyük teknoloji şirketlerinin kritik güvenlik açıklarına tepki hızının yeterli olup olmadığı konusundaki tartışmaları yeniden gündeme getirmiştir.
