Microsoft Defender'da "RoguePlanet" alarmı! Güncel Windows sistemleri risk altında
Microsoft'un Haziran 2026 güvenlik güncellemeleriyle iki önemli açığı kapatmasının ardından güvenlik araştırmacısı Nightmare Eclipse, "RoguePlanet" adını verdiği yeni bir sıfır gün açığını duyurdu. Araştırmacıya göre açık, güncel Windows 10 ve Windows 11 sistemlerinde SYSTEM yetkileri elde edilmesine imkan tanıyor ve siber güvenlik çevrelerinde yeni bir tartışma başlattı.
HABERİN DEVAMI 
Microsoft'un Haziran 2026 Yama Salısı güncellemeleri kapsamında iki güvenlik açığını kapatmasının üzerinden yalnızca birkaç saat geçmişken, güvenlik araştırmacısı Nightmare Eclipse yeni bir sıfır gün açığını kamuoyuyla paylaştı. "RoguePlanet" adı verilen açık, iddiaya göre en güncel Windows 10 ve Windows 11 sürümlerini etkiliyor ve saldırganların Microsoft Defender'daki bir yarış durumu zafiyetinden yararlanarak SYSTEM yetkileriyle komut istemi açmasına olanak tanıyor.
Nightmare Eclipse yeni istismarı yayımladı
Araştırmacı, salı günü kendi barındırdığı kod deposunda kavram kanıtı niteliğindeki istismarı yayımladı. Nightmare Eclipse, daha önce GitHub ve GitLab üzerinde yer alan benzer depolarının Microsoft tarafından kaldırıldığını öne sürdü. Açığın yarış durumu temelli olduğunu belirten araştırmacı, bazı sistemlerde yüzde 100 başarı elde ettiğini, bazı cihazlarda ise aynı sonuca ulaşmanın daha zor olduğunu ifade etti.
Paylaşılan bilgilere göre açık; Haziran 2026 güvenlik güncellemelerinin yüklü olduğu Windows 10 sistemleri ile Windows 11'in resmi ve Canary sürümlerinde test edildi. İstismar başarılı olduğunda SYSTEM yetkileriyle çalışan bir komut istemi açılıyor.
ThreatLocker testlerde açığın çalıştığını doğruladı
Siber güvenlik şirketi ThreatLocker, yaptığı testlerde açığı yeniden oluşturduğunu açıkladı. Şirket, KB5094126 güncellemesinin yüklü olduğu tamamen güncel Windows 11 sistemlerinde istismarın çalıştığını doğruladığını ve bunu gösteren bir video hazırladığını duyurdu.
ThreatLocker Üst Yöneticisi Danny Jenkins, ilk analizlerin RoguePlanet'in anlatıldığı şekilde çalıştığını gösterdiğini belirtti. Jenkins, uygulama izin listesi kullanan kuruluşların istismarın çalışmasını engelleyebileceğini ve bunun etkili bir koruma katmanı sunduğunu söyledi.
RoguePlanet'in ilk hedefi uzaktan kod çalıştırmaydı
Nightmare Eclipse'in aktardığına göre RoguePlanet başlangıçta Microsoft Defender'ın uzak SMB paylaşımlarında bulunan dosyaları işleme biçiminden yararlanan bir uzaktan kod çalıştırma açığı olarak geliştirildi. Araştırmacı, saldırganın kurbanı uzak bir SMB sunucusundaki .vhd(x) dosyasını açmaya yönlendirmesi halinde Defender'ın kendi dosyalarının üzerine yazabildiğini ve bunun uzaktan kod çalıştırma sonucuna yol açtığını öne sürdü.
Araştırmacı ayrıca, sembolik bağlantı değerlendirme ayarlarının etkin olduğu sistemlerde kullanıcıların yalnızca bir SMB paylaşımını açmaya yönlendirilmesinin de uzaktan kod çalıştırma senaryolarına kapı aralayabileceğini savundu.
Microsoft'un değişikliği saldırı yöntemlerini etkiledi
Nightmare Eclipse, Microsoft'un mayıs ayının ortalarında Defender üzerinde sessiz bir güçlendirme gerçekleştirdiğini ve "mpengine!SysIO*" API'sine yönelik değişikliklerle belirli saldırı tekniklerini engellediğini iddia etti. Bu değişikliğin ardından RoguePlanet'in yeniden çalışır hale getirilmesinin oldukça zorlaştığını belirten araştırmacı, açığın yalnızca yerel yetki yükseltmeyle mi sınırlı kaldığının yoksa yeniden uzaktan kod çalıştırmaya dönüştürülebilip dönüştürülemeyeceğinin henüz netleşmediğini kaydetti.
Microsoft ile araştırmacı arasındaki gerilim büyüyor
RoguePlanet'in yayımlanması, Nightmare Eclipse ile Microsoft arasında uzun süredir devam eden güvenlik açığı bildirim süreçleri ve ödül programları konusundaki anlaşmazlığın son halkası oldu. Araştırmacı son aylarda BlueHammer, RedSun, GreenPlasma ve YellowKey isimli çeşitli Windows sıfır gün açıklarını da kamuoyuna açıklamıştı. Bu açıkların bir bölümü Microsoft Defender'ı, diğerleri ise BitLocker ve farklı Windows bileşenlerini hedef alıyordu.
Microsoft, Haziran 2026 güncellemeleri kapsamında GreenPlasma ve YellowKey açıklarını giderdi. Şirket daha önce yaptığı açıklamalarda müşterilerine gerçek zarar veren kötü niyetli faaliyetlerde bulunan kişilerle ilgili olarak kolluk kuvvetleriyle iş birliği yapabileceğini belirtmişti. Bu açıklamalar, siber güvenlik topluluğunda araştırmacıya yönelik bir uyarı olarak değerlendirilmişti.
Nightmare Eclipse ise Microsoft'un GitHub ve GitLab üzerindeki önceki depolarını defalarca kaldırdığını öne sürüyor. Bu nedenle araştırmacı, projelerini yayımlamak için kendi altyapısını kullanmaya başladı. Konuyla ilgili olarak Microsoft'tan henüz resmi bir açıklama gelmedi.
- Popüler Haberler -
Yapay zeka tasarımlı aşıda insan testi dönemi başladı
Yapay zeka ile siber böceklerde yeni dönem başladı
Anthropic'ten kamuya açık Claude Fable 5 sürprizi
Xbox'tan Project Helix için gelecek nesil konsol planlarında radikal değişim
Nükleer füzyonda kritik eşik! Plazma davranışı yeniden tanımlandı
Google Chrome'dan uBlock Origin'e büyük darbe! MV2 desteği sona eriyor
