GÜNCEL
Microsoft'un Xbox işten çıkarması Bethesda oyunlarını erteledi—sendika grev hazırlıklarına başladıPokémon Go 10 yıl sonra nasıl hâlâ milyonları sokağa çıkarıyor: mekanik değil, etkinlik stratejisiGoogle Tensor G6'da Samsung modemi bırakıyor: FCC belgesi MediaTek geçişini ortaya koyduGoogle Play'deki ücretsiz VPN uygulamalarının %78'i temel güvenliği sağlamıyor: 281 uygulamaya yapılan test neler ortaya çıkardıiOS 18'de CarPlay video oynatma ve yapay zeka Siri geliyor, ama otomobil üreticileri henüz hazır değilClaude Reflect: Anthropic'in wellness maskeleri altında kullanıcı davranışını nasıl haritaladığıObsidian Entertainment, Avowed devamını iptal etti — yerine yeni Fallout oyunu geliştiriyorDuckDuckGo tarayıcısı YouTube reklamlarını varsayılan olarak engelliyor — sadece web sürümündeMicrosoft'un Xbox işten çıkarması Bethesda oyunlarını erteledi—sendika grev hazırlıklarına başladıPokémon Go 10 yıl sonra nasıl hâlâ milyonları sokağa çıkarıyor: mekanik değil, etkinlik stratejisiGoogle Tensor G6'da Samsung modemi bırakıyor: FCC belgesi MediaTek geçişini ortaya koyduGoogle Play'deki ücretsiz VPN uygulamalarının %78'i temel güvenliği sağlamıyor: 281 uygulamaya yapılan test neler ortaya çıkardıiOS 18'de CarPlay video oynatma ve yapay zeka Siri geliyor, ama otomobil üreticileri henüz hazır değilClaude Reflect: Anthropic'in wellness maskeleri altında kullanıcı davranışını nasıl haritaladığıObsidian Entertainment, Avowed devamını iptal etti — yerine yeni Fallout oyunu geliştiriyorDuckDuckGo tarayıcısı YouTube reklamlarını varsayılan olarak engelliyor — sadece web sürümünde

Windows Defender'ın Düştüğü Durum: Koruma Yazılımı Saldırganların En İyi Aracı Haline Geldi

Koordine edilmemiş güvenlik açıklaması pratikleri, Microsoft Defender kullanıcılarını beklenmedik bir tehlike karşısına koymaktadır. Bilgisayar korsanları, hazır kullanıma uygun saldırı araçlarına erişerek, milyonlarca Windows cihazını risk altına almaktadır. Sorumlu açıklama sürecinin başarısızlığı, siber güvenlik ortamında yeni bir çağı işaret etmektedir.

Windows Defender'ın Düştüğü Durum: Koruma Yazılımı Saldırganların Hedefi Haline Geldi

Windows Defender, milyarlarca kullanıcının güvendiği ve Microsoft'un işletim sistemine yerleşik olarak sunduğu antivirüs çözümü, şu anda siber saldırganlar tarafından istismar edilen güvenlik açıklarıyla karşı karşıya. Huntress siber güvenlik firmasının bulgularına göre, BlueHammer, RedSun ve UnDefend adı verilen üç Windows güvenlik açığı Defender'ı etkileyerek saldırganlara yönetici seviyesi erişim sağlamaktadır. En endişe verici kısım ise, bu açıklara yönelik exploit kodlarının GitHub'da kamuya açık olarak yayınlanması. Chaotic Eclipse adlı bir güvenlik araştırmacısının Microsoft ile yaşadığı anlaşmazlık nedeniyle bu kodları yayınlaması, savunmacıları saldırganlara karşı son derece eşitsiz bir yarışa sokmuştur.

Üç Açığın Özellikleri: BlueHammer, RedSun ve UnDefend

BlueHammer (CVE-2026-33825), yerel ayrıcalık yükseltme açığı olarak kategorize ediliyor ve 10 Nisan 2026'dan beri gerçek dünya saldırılarında kullanılmaktadır. Bu açık, sınırlı haklara sahip bir kullanıcı hesabından başlayarak, saldırganın sistem yöneticisi seviyesinde kontrol elde etmesini sağlamaktadır. BlueHammer, Microsoft tarafından düzeltme yapılan tek açıklık durumundadır.

RedSun ise Windows Defender'ın dosya geri yükleme mekanizmasındaki bir mantık hatasını istismar ederek SYSTEM seviyesi kod yürütülmesine izin vermektedir. Bu exploit yönetici ayrıcalıklarına, UAC (Kullanıcı Hesabı Denetimi) bypass'ına veya çekirdek seviyesi bir açıklığa ihtiyaç duymamaktadır. Açık temelde, MpSvc.dll dosyasında reparse point doğrulamasının eksikliğinden kaynaklanmaktadır.

UnDefend, antivirüs tanım güncellemelerini engelleyerek bir hizmet reddi koşulu yaratmaktadır. Bu mekanizma, Defender'ın güncellenmesini engelliyerek, eski tanım dosyalarının tespit edemeyeceği kötü amaçlı yazılımların sisteme yerleştirilmesine olanak sağlamaktadır.

RedSun ve UnDefend açıkları henüz Microsoft tarafından yamalanmamış durumdadır. Nisan 2026 itibariyle RedSun için Microsoft tarafından CVE numarası bile atanmamıştır. Huntress, 16 Nisan 2026'de RedSun ve UnDefend kanıt konseptlerinin kullanılmakta olduğunu gözlemlemiştir.

Kamuya Açık Exploit Kodlarının Sonuçları

Geleneksel olarak, bir güvenlik açığının keşfinden yaygın istismarına kadar geçen süre, savunmacılara düzeltme uygulama süresi sağlardı. Bu süreçte, açıklığın teknik detaylarını kullanmak derin uzmanlık ve reverse engineering yetenekleri gerektiriyordu. Chaotic Eclipse'in proof-of-concept kodlarını yayınlaması, bu durumu temel olarak değiştirmiştir.

Saldırganlar, şu anda halka açık hale getirilen kod deposuna erişebilmektedirler. Huntress araştırmacı John Hammond, hazır hale getirilen exploit araçlarının savunmacıları ve saldırganlar arasında hızlı bir yarışa soktuğunu belirtmiştir. Bu yarışta, zaman saldırganların avantajında olmuştur—kodlar yayınlandıktan sadece günler sonra, bu açıklıklar gerçek saldırılarda kullanılmaya başlanmıştır.

Sorumlu Açıklama ve Koordinasyon Boşluğu

BlueHammer, RedSun ve UnDefend vakasının temel sorunu, sorumlu açıklama sürecindeki krizdir. Chaotic Eclipse, bu açıklıkları Microsoft'un "açıklamadış işleme yanıt olarak" yayınladığını belirtmiştir. Bu ifade, güvenlik araştırmacıları ile Microsoft arasındaki iletişim kopukluğunu göstermektedir.

Sorumlu açıklama süreci, araştırmacının güvenlik açığını satıcıya özel olarak bildirmesi, satıcıya düzeltme geliştirmesi için makul bir süre tanıması (genellikle 90 gün), ve yalnızca yama hazır olduktan sonra detayları kamuya açıklaması prensibine dayanır. Bu vakada, üç güvenlik açığından sadece biri yamalandı; diğer ikisi için hala düzeltme beklenmektedir.

Bu gecikme veya iletişim kopukluğu, araştırmacıyı tam exploit kodlarını kamuya açıklamaya yöneltmiştir. Güvenlik topluluğu bu hamleyle ilgili olarak bölünmüş durumdadır. Sonuç olarak, milyonlarca Windows Defender kullanıcısı yamanız beklerken risk altında kalmıştır.

RedSun Exploitinin Teknik Yapısı

RedSun, dört farklı meşru Windows özelliğini zincirleyerek çalışmaktadır: Batch OPLOCK (Opportunistic Locking), Cloud Files API, VSS (Volume Shadow Copy Service) ve Junction Points. Bunların hiçbiri tek başına kötü niyetli değildir; ancak birleştirildiğinde SYSTEM seviyesi kod yürütülmesine olanak tanıyabilir.

Exploitin çekirdeği, MpSvc.dll dosyasındaki reparse point doğrulamasının eksikliğinde yer almaktadır. Reparse pointler, Windows'ta bir dosya sistemi nesnesinin başka bir konuma işaret etmesini sağlamaktadır. Windows Defender'ın dosya geri yükleme işlemi sırasında, bu reparse pointlerin düzgün doğrulanmaması, bir saldırganın Defender'ı kandırarak dosya yerleştirmesine olanak tanımaktadır.

Açık, Windows 11 25H2 Build 26200.8246 ve önceki sürümlerde gerçek zamanlı koruma etkinken onaylanmıştır. Bu, önemli sayıda kullanıcının etkilenme potansiyelini göstermektedir.

Sonuç

Windows Defender açıkları, modern siber tehditlerin karmaşıklığını ve güvenlik araştırması ile satıcı koordinasyonunun kritik önemini göstermektedir. Huntress'in bulgularının yayınlanması, Microsoft'u hızlı harekete geçirmeyi gerektiren acil bir durum ortaya koymaktadır. Kullanıcıların korunması, sorumlu iletişim ve zamanında düzeltmelerin uygulanmasına bağlıdır.