CVE-2026-50656 RoguePlanet Güvenlik Açığı
Microsoft, RoguePlanet olarak bilinen ve Microsoft Defender'ı etkileyen yeni bir sıfır gün güvenlik açığını resmen kabul etti ve sorunu gidermek için bir güvenlik güncellemesinin geliştirilmekte olduğunu doğruladı.
Bu güvenlik açığına CVE-2026-50656 numarası atanmış olup, CVSS önem derecesi 7.8'dir. Microsoft'a göre, bu güvenlik açığı, Microsoft Defender tarafından kullanılan Microsoft Kötü Amaçlı Yazılım Koruma Motoru'ndaki ayrıcalık yükseltme zafiyeti olarak sınıflandırılmıştır.
Microsoft, güvenlik araştırmacılarının RoguePlanet olarak adlandırdığı ve kamuoyuna açıklanan bu sorunun farkında olduğunu belirtti.
İçindekiler
RoguePlanet’in Ardındaki Tehdidi Anlamak
Bu açıklama, yaklaşık bir hafta önce RoguePlanet'in kamuoyuna duyurulmasının ardından geldi. Açığı ortaya çıkaran araştırmacı, bunu saldırganlara SYSTEM düzeyinde ayrıcalıklarla çalışan bir komut kabuğuna erişim sağlayabilen bir yarış durumu güvenlik açığı olarak tanımladı.
Bu güvenlik açığı bir yarış koşuluna dayandığı için, başarı oranı sistemler arasında değişiklik gösterir. Testler, bazı cihazların neredeyse mükemmel bir başarı oranıyla ele geçirilebildiğini, diğerlerinin ise istismara karşı daha dirençli olduğunu göstermiştir.
Özellikle belirtmek gerekirse, yayınlanan Kavram Kanıtı (PoC), Microsoft Defender'ın gerçek zamanlı koruma özelliğinin etkinleştirilmiş veya devre dışı bırakılmış olmasına bakılmaksızın çalışmaktadır.
Defender Güvenlik Açıklarının Giderek Artan Listesi
RoguePlanet, aynı araştırmacılar tarafından kamuoyuna açıklanan dördüncü Microsoft Defender güvenlik açığını temsil ediyor. Önceki bulgular şunlardır:
BlueHammer (CVE-2026-33825)
UnDefend (CVE-2026-45498)
RedSun (CVE-2026-41091)
Daha önce açıklanan üç güvenlik açığının tamamı Microsoft tarafından zaten yamalandı.
Başarılı Sömürünün Potansiyel Etkisi
RoguePlanet'i kullanan bir saldırı başarılı olursa, saldırgan Windows sistemlerinde mevcut en yüksek ayrıcalık seviyelerinden biri olan SYSTEM düzeyinde izinlerle çalışan bir shell elde eder. Bu erişim, kötü niyetli kişilerin şunları yapmasına olanak tanır:
Rastgele kod çalıştırın.
Etkilenen sistemde yetkisiz işlemler gerçekleştirin.
Yükseltilmiş ayrıcalıklar, başarılı bir uzlaşmanın potansiyel etkisini önemli ölçüde artırır.
Tamamen güncellenmiş Windows sistemlerinde test edilmiştir.
Güvenlik testleri, söz konusu güvenlik açığının, Haziran 2026 Yama Salı güncellemelerini almış olan hem Windows 10 hem de Windows 11 sistemlerinde çalıştığını doğruladı. Bu durum, Microsoft özel bir düzeltme yayınlayana kadar tamamen güncellenmiş masaüstü kurulumlarının savunmasız kalacağını gösteriyor.
Windows Server Güvenlik Açığı Farklı Bir İstismar Yöntemi Gerektiriyor
Mevcut haliyle bu güvenlik açığı, Windows Server ortamlarında çalışmamaktadır çünkü standart kullanıcıların ISO imajlarını bağlamasına izin verilmemektedir; bu da mevcut saldırı tekniğinin bir gerekliliğidir.
Ancak bu sınırlama, bağışıklık olarak yorumlanmamalıdır. Araştırmacılar, Windows Server kurulumlarının hala altta yatan güvenlik açığından etkilendiğini vurguladı. Başarılı bir istismarın mümkün olabilmesi için, istismar yönteminin platformun kısıtlamalarına uyacak şekilde yeniden tasarlanması gerekecektir.
