Abone Ol
GÜNCEL
Google'ın Yapay Zeka Arama Modu Yayıncıların Web Trafiğini %58 Oranında AzaltıyorFitbit Air: 8 günlük pil ömrü pahasına aylık ücretli sağlık özellikleriGoogle DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?Google'ın arama sonuçlarına zorunlu AI ekleme planı kullanıcıları DuckDuckGo'ya yöneltiyoriPhone 18 Pro 2026'de kalınlaşacak, MagSafe tasarımı basitleşecek: Apple'ın asıl oyunu premium ayrıştırmaGoogle'ın 180 milyar dolarlık Gemini bahsi: 900 milyon kullanıcı, 7 kat token artışı, ama para kazanma hala muallakKali365: Cihaz kodu phishing'i Microsoft 365 kullanıcılarının MFA'sını atlatan yeni tehditSamsung Z Fold 8: Üretim maliyeti %23 arttığında neden özellikleri kesiyor?Google'ın Yapay Zeka Arama Modu Yayıncıların Web Trafiğini %58 Oranında AzaltıyorFitbit Air: 8 günlük pil ömrü pahasına aylık ücretli sağlık özellikleriGoogle DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?Google'ın arama sonuçlarına zorunlu AI ekleme planı kullanıcıları DuckDuckGo'ya yöneltiyoriPhone 18 Pro 2026'de kalınlaşacak, MagSafe tasarımı basitleşecek: Apple'ın asıl oyunu premium ayrıştırmaGoogle'ın 180 milyar dolarlık Gemini bahsi: 900 milyon kullanıcı, 7 kat token artışı, ama para kazanma hala muallakKali365: Cihaz kodu phishing'i Microsoft 365 kullanıcılarının MFA'sını atlatan yeni tehditSamsung Z Fold 8: Üretim maliyeti %23 arttığında neden özellikleri kesiyor?
Siber Güvenlik

Windows Defender'ın Düştüğü Durum: Koruma Yazılımı Saldırganların En İyi Aracı Haline Geldi

Koordine edilmemiş güvenlik açıklaması pratikleri, Microsoft Defender kullanıcılarını beklenmedik bir tehlike karşısına koymaktadır. Bilgisayar korsanları, hazır kullanıma uygun saldırı araçlarına erişerek, milyonlarca Windows cihazını risk altına almaktadır. Sorumlu açıklama sürecinin başarısızlığı, siber güvenlik ortamında yeni bir çağı işaret etmektedir.

Windows Defender'ın Düştüğü Durum: Koruma Yazılımı Saldırganların Hedefi Haline Geldi

Windows Defender, milyarlarca kullanıcının güvendiği ve Microsoft'un işletim sistemine yerleşik olarak sunduğu antivirüs çözümü, şu anda siber saldırganlar tarafından istismar edilen güvenlik açıklarıyla karşı karşıya. Huntress siber güvenlik firmasının bulgularına göre, BlueHammer, RedSun ve UnDefend adı verilen üç Windows güvenlik açığı Defender'ı etkileyerek saldırganlara yönetici seviyesi erişim sağlamaktadır. En endişe verici kısım ise, bu açıklara yönelik exploit kodlarının GitHub'da kamuya açık olarak yayınlanması. Chaotic Eclipse adlı bir güvenlik araştırmacısının Microsoft ile yaşadığı anlaşmazlık nedeniyle bu kodları yayınlaması, savunmacıları saldırganlara karşı son derece eşitsiz bir yarışa sokmuştur.

Üç Açığın Özellikleri: BlueHammer, RedSun ve UnDefend

BlueHammer (CVE-2026-33825), yerel ayrıcalık yükseltme açığı olarak kategorize ediliyor ve 10 Nisan 2026'dan beri gerçek dünya saldırılarında kullanılmaktadır. Bu açık, sınırlı haklara sahip bir kullanıcı hesabından başlayarak, saldırganın sistem yöneticisi seviyesinde kontrol elde etmesini sağlamaktadır. BlueHammer, Microsoft tarafından düzeltme yapılan tek açıklık durumundadır.

RedSun ise Windows Defender'ın dosya geri yükleme mekanizmasındaki bir mantık hatasını istismar ederek SYSTEM seviyesi kod yürütülmesine izin vermektedir. Bu exploit yönetici ayrıcalıklarına, UAC (Kullanıcı Hesabı Denetimi) bypass'ına veya çekirdek seviyesi bir açıklığa ihtiyaç duymamaktadır. Açık temelde, MpSvc.dll dosyasında reparse point doğrulamasının eksikliğinden kaynaklanmaktadır.

UnDefend, antivirüs tanım güncellemelerini engelleyerek bir hizmet reddi koşulu yaratmaktadır. Bu mekanizma, Defender'ın güncellenmesini engelliyerek, eski tanım dosyalarının tespit edemeyeceği kötü amaçlı yazılımların sisteme yerleştirilmesine olanak sağlamaktadır.

RedSun ve UnDefend açıkları henüz Microsoft tarafından yamalanmamış durumdadır. Nisan 2026 itibariyle RedSun için Microsoft tarafından CVE numarası bile atanmamıştır. Huntress, 16 Nisan 2026'de RedSun ve UnDefend kanıt konseptlerinin kullanılmakta olduğunu gözlemlemiştir.

Kamuya Açık Exploit Kodlarının Sonuçları

Geleneksel olarak, bir güvenlik açığının keşfinden yaygın istismarına kadar geçen süre, savunmacılara düzeltme uygulama süresi sağlardı. Bu süreçte, açıklığın teknik detaylarını kullanmak derin uzmanlık ve reverse engineering yetenekleri gerektiriyordu. Chaotic Eclipse'in proof-of-concept kodlarını yayınlaması, bu durumu temel olarak değiştirmiştir.

Saldırganlar, şu anda halka açık hale getirilen kod deposuna erişebilmektedirler. Huntress araştırmacı John Hammond, hazır hale getirilen exploit araçlarının savunmacıları ve saldırganlar arasında hızlı bir yarışa soktuğunu belirtmiştir. Bu yarışta, zaman saldırganların avantajında olmuştur—kodlar yayınlandıktan sadece günler sonra, bu açıklıklar gerçek saldırılarda kullanılmaya başlanmıştır.

Sorumlu Açıklama ve Koordinasyon Boşluğu

BlueHammer, RedSun ve UnDefend vakasının temel sorunu, sorumlu açıklama sürecindeki krizdir. Chaotic Eclipse, bu açıklıkları Microsoft'un "açıklamadış işleme yanıt olarak" yayınladığını belirtmiştir. Bu ifade, güvenlik araştırmacıları ile Microsoft arasındaki iletişim kopukluğunu göstermektedir.

Sorumlu açıklama süreci, araştırmacının güvenlik açığını satıcıya özel olarak bildirmesi, satıcıya düzeltme geliştirmesi için makul bir süre tanıması (genellikle 90 gün), ve yalnızca yama hazır olduktan sonra detayları kamuya açıklaması prensibine dayanır. Bu vakada, üç güvenlik açığından sadece biri yamalandı; diğer ikisi için hala düzeltme beklenmektedir.

Bu gecikme veya iletişim kopukluğu, araştırmacıyı tam exploit kodlarını kamuya açıklamaya yöneltmiştir. Güvenlik topluluğu bu hamleyle ilgili olarak bölünmüş durumdadır. Sonuç olarak, milyonlarca Windows Defender kullanıcısı yamanız beklerken risk altında kalmıştır.

RedSun Exploitinin Teknik Yapısı

RedSun, dört farklı meşru Windows özelliğini zincirleyerek çalışmaktadır: Batch OPLOCK (Opportunistic Locking), Cloud Files API, VSS (Volume Shadow Copy Service) ve Junction Points. Bunların hiçbiri tek başına kötü niyetli değildir; ancak birleştirildiğinde SYSTEM seviyesi kod yürütülmesine olanak tanıyabilir.

Exploitin çekirdeği, MpSvc.dll dosyasındaki reparse point doğrulamasının eksikliğinde yer almaktadır. Reparse pointler, Windows'ta bir dosya sistemi nesnesinin başka bir konuma işaret etmesini sağlamaktadır. Windows Defender'ın dosya geri yükleme işlemi sırasında, bu reparse pointlerin düzgün doğrulanmaması, bir saldırganın Defender'ı kandırarak dosya yerleştirmesine olanak tanımaktadır.

Açık, Windows 11 25H2 Build 26200.8246 ve önceki sürümlerde gerçek zamanlı koruma etkinken onaylanmıştır. Bu, önemli sayıda kullanıcının etkilenme potansiyelini göstermektedir.

Sonuç

Windows Defender açıkları, modern siber tehditlerin karmaşıklığını ve güvenlik araştırması ile satıcı koordinasyonunun kritik önemini göstermektedir. Huntress'in bulgularının yayınlanması, Microsoft'u hızlı harekete geçirmeyi gerektiren acil bir durum ortaya koymaktadır. Kullanıcıların korunması, sorumlu iletişim ve zamanında düzeltmelerin uygulanmasına bağlıdır.

Okumaya devam et

27 May 2026 6 dk

Google DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?

Demis Hassabis, Axios'a verdiği söyleşide dört yıl içinde yapay genel zekaya erişilebileceğini iddia ederken, Google I/O'da araştırma ekipleri AlphaFold gibi uzmanlaşmış araçlardan genel amaçlı ajan sistemlerine yönlendiriliyor. Çelişkili görünen bu iki hamle aslında aynı stratejinin iki yüzü: acil bir tehdit algısı oluşturma ile o tehdidi kontrol edecek araçlar inşa etme.