Siber güvenlik araştırmacıları, İnternet saldırılarını kısmen yama yapılmamış BlueHammer, RedSun ve UnDefend güvenlik kusurlarına dayanarak rapor ediyor. Bunlar Windows Defender ile ilgilidir ve hakları yöneticiye ve hatta sisteme genişletmenize olanak tanır.
Duyurudan sonra devamını okuyun
Raporlama sırasında yamanın mevcut durumuna rağmen RedSun istismarı hala çalışıyor.
(Resim: Heisemedien / Christopher Kunz)
HuntressLabs tarafından X üzerinde yapılan kısa bir analize göre BlueHammer güvenlik açığına yönelik ilk saldırılar 10 Nisan Cuma günü gerçekleşti. Güvenlik açığı önceki hafta sonundan hemen önce öğrenildi ve Windows Defender güncelleme sürecini etkiliyor. Sonuçta, geçen hafta Salı günü yapılan Yama sırasında Microsoft, güvenlik açığını CVE-2026-33825 girişiyle yamaladı ve Defender da bilinen açıklardan yararlanmaya yönelik tespitler aldı.
RedSun ve UnDefend'de durum farklı. HuntressLabs'taki analistler X hakkında üç güvenlik açığının da saldırı altında olduğunu bildirdi. Ancak RedSun ve UnDefend için henüz herhangi bir düzeltme mevcut değil; raporlama sırasında hâlâ kötüye kullanılabilirler.
Ayrıcalık yükseltme ve güncelleme engelleme
Kullanıcı üç sıfır günün tamamını GitHub'da “Nightmare-Eclipse” tanıtıcısıyla yayınladı. RedSun, “Bulut Dosyaları API'sini” kullanarak bir dosya yazan, böylece Windows gölge kopyalarıyla bir yarış koşulu kazanan ve daha sonra yürütülebilir dosyaları Windows sistem dizinine yerleştirebilen bir saldırıdır. Bu daha sonra SİSTEM haklarını kazanmak için kullanılabilir.
“UnDefend” sıfır gün güvenlik açığı biraz daha az ilgi gördü. Bu, sistemdeki normal haklara sahip saldırganların Windows Defender'ı sakatlamasına olanak tanır. Pasif modda bu açık, Defender'ın yeni güncellemeleri tespit etmesini ve yüklemesini engeller. Bu, Defender'ın yeni tehditlere karşı koruma sağlayamayacağı anlamına gelir. Agresif modda UnDefend, Windows Defender'ı tamamen devre dışı bırakmaya çalışır. Ancak bu yalnızca Microsoft, MsMpEng.exe çekirdek bileşeninin ve diğer ikili dosyaların yerini alan büyük bir platform güncellemesi yayınladığında işe yarayacaktır. Aynı zamanda “Nightmare-Eclipse”, EDR (Uç Nokta Tespiti ve Yanıt) konsolunun Windows Defender'ın hala çalıştığını ve güncel olduğunu bildirdiği ancak bunu çok tehlikeli bulduğu ve dolayısıyla kodun (henüz) herkese açık olmadığı bir yöntem buldu.
Gözlemlenen saldırıların ölçeğinin ne olduğu belli değil. Şu anda yalnızca Microsoft'un da yakın zamanda güvenlik açıklarını düzelteceğini umabiliriz.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın