Abone Ol
GÜNCEL
Google'ın Yapay Zeka Arama Modu Yayıncıların Web Trafiğini %58 Oranında AzaltıyorFitbit Air: 8 günlük pil ömrü pahasına aylık ücretli sağlık özellikleriGoogle DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?Google'ın arama sonuçlarına zorunlu AI ekleme planı kullanıcıları DuckDuckGo'ya yöneltiyoriPhone 18 Pro 2026'de kalınlaşacak, MagSafe tasarımı basitleşecek: Apple'ın asıl oyunu premium ayrıştırmaGoogle'ın 180 milyar dolarlık Gemini bahsi: 900 milyon kullanıcı, 7 kat token artışı, ama para kazanma hala muallakKali365: Cihaz kodu phishing'i Microsoft 365 kullanıcılarının MFA'sını atlatan yeni tehditSamsung Z Fold 8: Üretim maliyeti %23 arttığında neden özellikleri kesiyor?Google'ın Yapay Zeka Arama Modu Yayıncıların Web Trafiğini %58 Oranında AzaltıyorFitbit Air: 8 günlük pil ömrü pahasına aylık ücretli sağlık özellikleriGoogle DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?Google'ın arama sonuçlarına zorunlu AI ekleme planı kullanıcıları DuckDuckGo'ya yöneltiyoriPhone 18 Pro 2026'de kalınlaşacak, MagSafe tasarımı basitleşecek: Apple'ın asıl oyunu premium ayrıştırmaGoogle'ın 180 milyar dolarlık Gemini bahsi: 900 milyon kullanıcı, 7 kat token artışı, ama para kazanma hala muallakKali365: Cihaz kodu phishing'i Microsoft 365 kullanıcılarının MFA'sını atlatan yeni tehditSamsung Z Fold 8: Üretim maliyeti %23 arttığında neden özellikleri kesiyor?
Siber Güvenlik

Microsoft'a öfkeli bir araştırmacı 3 Windows açığını GitHub'da yayınladı — şimdi hackerlar gerçek şirketleri hedef alıyor

Bir güvenlik araştırmacısının Microsoft ile yaşadığı anlaşmazlık, savunmacılar ve saldırganlar arasında ölümcül bir yarışı tetikledi. Windows'taki kritik exploitler artık gerçek kuruluşların hedefi haline geldi ve şirketler her gün yeni saldırılarla karşı karşıya.

Microsoft Defender Krizi: Bir Araştırmacının Yayınladığı 3 Açık, Windows Güvenliğinin En Rahatsız Edici Sorununu Gösterdi

Microsoft Defender yıllardır Windows ekosisteminin varsayılan güvenlik kalkanı olarak görülüyor. Kullanıcıların çoğu için ayrı bir antivirüs kurmadan “en azından temel koruma açık” demek, Defender’ın çalışıyor olması anlamına geliyor. Fakat Nisan 2026’da yaşanan olay, bu güvenlik katmanının rahatsız edici bir paradoksunu ortaya çıkardı: Bazen saldırganın en güçlü aracı, sistemin kendisini korumak için tasarlanmış mekanizma olabiliyor.

Chaotic Eclipse ya da Nightmare-Eclipse takma adını kullanan bir güvenlik araştırmacısı, Microsoft Security Response Center ile yaşadığı anlaşmazlığın ardından Microsoft Defender’ı hedef alan üç ayrı açık için proof-of-concept kodlarını kamuya açık biçimde yayımladı. Açıklar BlueHammer, RedSun ve UnDefend adlarıyla anılıyor. Daha da kötüsü, siber güvenlik şirketi Huntress bu tekniklerin en az bir gerçek saldırıda kullanıldığını bildirdi.

Bu artık teorik bir “açık var mı yok mu?” tartışması değil. Kod yayımlandı, savunmacılar ile saldırganlar aynı anda aynı bilgiye erişti ve yarış başladı.

Olayın özeti: Üç açık, tek sorun

Bu krizin merkezinde üç farklı Defender zafiyeti var.

BlueHammer, Microsoft Defender’da yerel ayrıcalık yükseltmeye yol açan bir açık. Microsoft bu açığı CVE-2026-33825 olarak takip etti ve Nisan 2026 Patch Tuesday güncellemesiyle yamaladı. Açık, CVSS 7.8 / High seviyesinde değerlendirildi ve Microsoft’un Nisan 2026 güvenlik paketinde yer aldı.

RedSun, yine Microsoft Defender’ı hedefleyen ikinci bir yerel ayrıcalık yükseltme açığı. BlueHammer’dan sonra yayımlandı ve yazının hazırlandığı tarih itibarıyla kamuya açık haberlerde henüz ayrı bir Microsoft yamasıyla kapatıldığı belirtilmiyordu. RedSun’un tehlikesi, Defender’ın bazı dosya işleme davranışlarını saldırgan lehine çevirebilmesinden geliyor.

UnDefend ise doğrudan sistemin kontrolünü ele geçirmekten çok Defender’ın koruma kabiliyetini zayıflatmaya yönelik. Help Net Security’nin aktardığına göre standart bir kullanıcı, bu teknikle Defender’ın imza güncellemelerini almasını engelleyebiliyor veya belirli güncelleme senaryolarında Defender’ı devre dışı bırakmaya yaklaşabiliyor.

Üç açık birlikte düşünüldüğünde tablo daha netleşiyor: Biri yetki yükseltiyor, biri benzer bir yoldan SYSTEM seviyesine çıkış sağlayabiliyor, diğeri de savunma mekanizmasının güncel kalmasını bozuyor. Yani mesele tek bir hata değil; Microsoft Defender gibi merkezi bir güvenlik bileşeninin dosya işleme, güncelleme ve ayrıcalıklı işlem mantığında birden fazla kırılgan nokta bulunması.

Neden bu kadar kritik?

Bu açıkların tamamı “uzaktan tek tıkla tüm dünyayı ele geçiren” türden açıklar değil. Bunu doğru koymak önemli. BlueHammer ve RedSun gibi açıklar yerel ayrıcalık yükseltme kategorisine giriyor. Yani saldırganın önce sisteme bir şekilde düşük yetkili erişim elde etmesi gerekiyor. Ancak modern saldırı zincirlerinde bu zaten sık görülen bir senaryo.

Bir oltalama e-postası, zayıf VPN kimlik bilgileri, çalınmış kullanıcı hesabı, yanlış yapılandırılmış uzak erişim servisi ya da kötü amaçlı bir dosya saldırgana ilk ayağı sağlayabilir. Sorun bundan sonra başlıyor. Düşük yetkili bir kullanıcı hesabından SYSTEM seviyesine çıkabilmek, saldırgan için oyunun rengini değiştirir.

SYSTEM yetkisi, Windows tarafında neredeyse en derin kontrol katmanlarından biridir. Bu seviyeye çıkan saldırgan güvenlik araçlarını susturmaya, kalıcılık mekanizmaları kurmaya, kimlik bilgileri toplamaya, yanal hareket yapmaya ve fidye yazılımı gibi daha yıkıcı aşamalara geçmeye çok daha fazla yaklaşır.

Bu yüzden Defender açıkları özellikle tehlikeli. Çünkü Defender sıradan bir üçüncü parti uygulama değil; Windows’un içine gömülü, yüksek yetkilerle çalışan, milyarlarca cihazda varsayılan olarak bulunan bir güvenlik bileşeni. Picus, Defender’ın Windows 10 ve Windows 11 kurulumlarında yerleşik antimalware katmanı olduğunu ve tüketici, kurum ve kamu sistemleri için kritik bir savunma hattı oluşturduğunu vurguluyor.

Kısacası: Açık Defender’daysa, saldırı yüzeyi devasa olur.

Gerçek saldırılar başladı

Huntress, BlueHammer’ın 10 Nisan 2026’dan itibaren, RedSun ve UnDefend proof-of-concept kodlarının ise 16 Nisan’da gerçek ortamda kullanıldığını gözlemlediğini açıkladı. The Hacker News’in aktardığına göre saldırı sırasında tipik keşif komutları da görülmüş; bu da olayın otomatik bir testten ziyade “hands-on-keyboard” yani aktif saldırgan müdahalesi içeren bir senaryoya benzediğini gösteriyor.

TechCrunch da saldırganların bu açıkları kullanarak en az bir kuruluşa sızdığını, hedefin ve saldırgan grubun kimliğinin ise netleşmediğini yazdı.

Bu ayrıntı önemli. Çünkü güvenlik açıkları genellikle iki evreden geçer: önce araştırmacıların ve güvenlik ekiplerinin radarında olan teknik bir konu, sonra saldırganların paketleyip operasyonel araca dönüştürdüğü gerçek bir tehdit. Bu olayda ikinci evre çok hızlı başladı. Kodun GitHub’da erişilebilir olması, saldırganların sıfırdan açık keşfetme maliyetini ortadan kaldırdı.

Huntress araştırmacısı John Hammond’ın TechCrunch’a söylediği gibi, bu tür durumlar savunmacılar ile siber suçlular arasında yeni bir çekişme yaratıyor; çünkü araç artık “hazır saldırı takımı” hâline geliyor.

Asıl hikâye: Bir açık değil, güven krizi

Bu olayın teknik tarafı kadar etik tarafı da rahatsız edici. Güvenlik araştırmacıları ile büyük teknoloji şirketleri arasında “koordineli açıklama” adı verilen bir süreç bulunur. Araştırmacı açığı önce üreticiye bildirir, üretici inceleme ve yama sürecini yürütür, ardından taraflar belirli bir takvimde teknik ayrıntıların yayımlanması konusunda anlaşır.

Bu model kusursuz değil. Şirketler bazen yavaş davranabilir, araştırmacıları ciddiye almayabilir, ödül süreçleri sorunlu olabilir veya raporları bürokratik gerekçelerle kapatabilir. Ama modelin amacı basittir: Kullanıcıları saldırganlardan önce korumak.

Chaotic Eclipse’in iddiası, Microsoft’un bu süreci kötü yönettiği yönünde. Araştırmacı, Microsoft’un tutumuna tepki olarak açıkları kamuya açtığını söylüyor. Microsoft ise TechCrunch’a yaptığı açıklamada koordineli güvenlik açığı bildirimini desteklediğini, bunun hem kullanıcı koruması hem de güvenlik araştırmacıları için yaygın bir endüstri pratiği olduğunu belirtti.

Burada iki şey aynı anda doğru olabilir.

Microsoft’un güvenlik açığı bildirim süreçleri araştırmacılar için gerçekten hantal, tatmin edici olmayan ve yavaş ilerleyen bir yapıya sahip olabilir. Büyük şirketlerin “form doldur, video gönder, bekle, tekrar gönder” tarzı süreçleri bağımsız araştırmacıları tüketebilir.

Ama çalışan exploit kodlarını kamuya bırakmak da savunmacıları değil, çoğu zaman saldırganları güçlendirir.

İşte bu yüzden olayın merkezinde yalnızca “öfkeli araştırmacı” yok. Bu, güvenlik ekosisteminin kırılgan sözleşmesinin bozulmasıdır. Araştırmacı şirkete güvenmiyor. Şirket araştırmacıya güvenmiyor. Kullanıcı ise ikisinin arasındaki enkazın altında kalıyor.

Microsoft için kötü zamanlama

Microsoft’un güvenlik itibarı son yıllarda zaten baskı altında. Bulut güvenliği, devlet destekli saldırılar, Exchange/SharePoint açıkları, kimlik altyapısı sorunları ve Windows ekosisteminin devasa saldırı yüzeyi şirketin üzerine sürekli yeni baskı bindiriyor. Nisan 2026 Patch Tuesday paketi de küçük bir güncelleme değildi: Tenable’a göre Microsoft o ay 163 CVE için yama yayımladı; bunların 8’i kritik, 154’ü önemli, 1’i orta seviyedeydi.

Bu tablo tek başına “Microsoft kötü” anlamına gelmez. Büyük yazılım ekosistemlerinde çok sayıda açık bulunması normaldir. Fakat Defender gibi işletim sisteminin güvenlik çekirdeğine yakın bir bileşende art arda açıkların çıkması, algıyı değiştirir.

Çünkü Defender sadece bir ürün değil; Microsoft’un Windows güvenliği için verdiği temel vaatlerden biri. Kullanıcıya şunu söylüyor: “Bu sistemi biz yaptık, temel korumasını da biz sağlıyoruz.”

BlueHammer, RedSun ve UnDefend ise bu vaadin karanlık tarafını gösteriyor: Güvenlik yazılımı ne kadar derine entegre edilirse, onda çıkan bir hata da o kadar yüksek etki üretir.

“Antivirüs kullanıyorum” artık yeterli cümle değil

Bu olaydan çıkarılacak en pratik ders şu: Kurumların güvenliği tek bir araca, hele ki varsayılan antivirüse bağlaması artık sürdürülebilir değil.

Defender kötü bir ürün olduğu için değil. Tam tersine, Defender yaygın, entegre ve merkezi olduğu için saldırganlar açısından cazip bir hedef. Bir güvenlik aracının çok yaygın olması, onu savunma standardı yaptığı kadar saldırı araştırmasının da merkezine koyar.

Bu yüzden kurumlar için doğru yaklaşım “Defender var, tamamız” değil; “Defender hangi kontrollerle tamamlanıyor?” olmalı.

Minimum savunma seti şöyle düşünülmeli:

İlk olarak, Nisan 2026 güvenlik güncellemeleri uygulanmalı. BlueHammer için yayımlanan CVE-2026-33825 yaması özellikle kritik. Microsoft bu açığı Patch Tuesday kapsamında kapattı; Tenable da açığın kamuya açık şekilde ifşa edildiğini ve BlueHammer ile örtüştüğünü belirtiyor.

İkinci olarak, yerel yönetici hakları sıkı biçimde sınırlandırılmalı. Bu tür açıklar düşük yetkili erişimi SYSTEM seviyesine taşıyabildiği için, ilk erişim yüzeyini azaltmak hâlâ en etkili savunmalardan biri.

Üçüncü olarak, EDR/XDR davranışsal izleme şart. İmza tabanlı antivirüs tek başına yetmez; çünkü saldırgan zaten antivirüsün davranışını manipüle etmeye çalışıyor. Şüpheli ayrıcalık yükseltme, olağandışı dosya yazma, sistem dizinlerine beklenmeyen müdahale, keşif komutları ve Defender güncelleme davranışındaki sapmalar izlenmeli.

Dördüncü olarak, ağ segmentasyonu ve kimlik güvenliği güçlendirilmeli. Bir uç noktanın ele geçirilmesi tüm domain’e yayılmamalı. Active Directory keşif komutlarının bu saldırı senaryosunda görülmesi tesadüf değil; saldırganlar çoğu zaman ilk makineyi sadece basamak olarak kullanır.

Beşinci olarak, güvenlik ekipleri PoC yayınlandıktan sonra “bekle-gör” moduna girmemeli. Public exploit kodu yayımlandığında, saldırganların deneme süresi günlerle değil saatlerle ölçülür. Bu olayda da gerçek dünya kullanımı çok hızlı gözlenmiş durumda.

Bireysel kullanıcı ne yapmalı?

Ev kullanıcısı için tablo kurumsal ağlar kadar dramatik görünmeyebilir, ama tamamen önemsiz de değil.

En pratik tavsiye basit: Windows Update’i ertelemeyin. Özellikle Nisan 2026 güncellemelerini yükleyin. Defender güvenlik zekâsı / imza güncellemelerinin düzenli geldiğini kontrol edin. Bilinmeyen dosyaları çalıştırmayın. Yerel yönetici hesabıyla günlük kullanım yapmayın. Eğer bilgisayarınız iş için kullanılıyorsa, VPN, uzak masaüstü ve tarayıcı eklentileri gibi ilk erişim yüzeylerini ayrıca gözden geçirin.

Bu açıklar saldırganın bilgisayarınıza sihirli biçimde uzaktan girmesini sağlamıyor olabilir; ama içeri girdikten sonra kontrolü büyütmesini kolaylaştırıyor. Siber güvenlikte çoğu felaket zaten böyle başlar: küçük bir ilk erişim, ardından hızlı yetki yükseltme, sonra kalıcılık.

Sonuç: Defender değil, savunma modeli sorgulanmalı

Bu kriz Microsoft Defender’ın tek başına “güvenilmez” olduğu anlamına gelmiyor. Daha büyük ve daha rahatsız edici bir şeyi gösteriyor: Modern güvenlik, tek bir koruyucu ürüne emanet edilemeyecek kadar karmaşık hâle geldi.

Defender hem kalkan hem saldırı yüzeyi. Windows hem platform hem hedef. Araştırmacı hem uyarıcı hem risk kaynağı. Microsoft hem savunmacı hem gecikmenin sorumlusu. Bu olayın bu kadar öğretici olmasının nedeni de burada.

BlueHammer yamalandı. RedSun ve UnDefend için süreç yakından izlenmek zorunda. Ama daha büyük ders yamanın ötesinde: Güvenlik artık “hangi antivirüs?” sorusu değil, “saldırgan düşük yetkiyle içeri girerse onu nerede durduruyoruz?” sorusu.

Bu soruya cevabı olmayan kurumlar için asıl açık Defender’da değil; savunma mimarisinin kendisinde.

Okumaya devam et

27 May 2026 6 dk

Google DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?

Demis Hassabis, Axios'a verdiği söyleşide dört yıl içinde yapay genel zekaya erişilebileceğini iddia ederken, Google I/O'da araştırma ekipleri AlphaFold gibi uzmanlaşmış araçlardan genel amaçlı ajan sistemlerine yönlendiriliyor. Çelişkili görünen bu iki hamle aslında aynı stratejinin iki yüzü: acil bir tehdit algısı oluşturma ile o tehdidi kontrol edecek araçlar inşa etme.