ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Microsoft Defender’da bulunan BlueHammer güvenlik açığının fidye yazılımı grupları tarafından aktif olarak kullanıldığını doğruladı. Microsoft’un nisan ayında yayınladığı güvenlik güncellemesiyle giderilen açık, yerel ayrıcalık yükseltmeye izin vererek saldırganların Windows sistemlerinde SYSTEM yetkisi elde etmesine imkân tanıyor. BlueHammer güvenlik açığı, güncellenmemiş sistemler için kritik risk oluşturmaya devam ediyor.

Güvenlik Açığı Saldırganlara SYSTEM Yetkisi Kazandırabiliyor

CVE-2026-33825 kimliğiyle takip edilen açık, “Nightmare Eclipse” takma adını kullanan bir güvenlik araştırmacısı tarafından nisan ayının başında kavram kanıtlama (PoC) koduyla birlikte kamuoyuna açıklanmıştı. Microsoft’un teknik dokümanına göre zafiyet, Microsoft Defender’daki erişim denetiminin yeterli ayrıntıda uygulanmamasından kaynaklanıyor. Saldırganlar gerekli yerel erişimi elde ettikten sonra Windows Security Account Manager (SAM) veritabanındaki parola özetlerine ulaşabiliyor. Ardından ayrıcalık yükseltme saldırısı gerçekleştirerek SYSTEM yetkisi kazanabiliyor ve hedef sistem üzerinde tam denetim sağlayabiliyor.

Microsoft, güvenlik açığını 14 Nisan’da yayınlanan Patch Tuesday güncellemeleri kapsamında kapattı. Ancak Huntress Labs araştırmacıları, düzeltme yayınlanmadan önce açığın gerçek saldırılarda kullanıldığına ilişkin bulgular paylaştı. Araştırmacılar, saldırılarda doğrudan saldırgan etkileşiminin görüldüğünü ve açığın sıfır gün zafiyeti olarak değerlendirildiğini açıkladı.

CISA Kurumları Güncelleme Yapmaları Konusunda Yeniden Uyardı

CISA, güvenlik açığını daha önce Known Exploited Vulnerabilities (KEV) kataloğuna ekleyerek ABD Federal Sivil İcra Kurumlarına sistemlerini belirlenen süre içinde güncelleme talimatı vermişti. Kurum, son güncellemesinde aynı açığın artık fidye yazılımı operasyonlarında da kullanıldığını doğruladı. Böylece Windows Defender güvenlik açığı, yalnızca hedefli saldırılarla değil organize fidye yazılımı kampanyalarıyla da ilişkilendirilmiş oldu.

Microsoft ise güvenlik danışma sayfasında açığın fidye yazılımı saldırılarında kullanıldığına ilişkin henüz ayrı bir işaretleme yapmadı. Buna rağmen CISA’nın KEV kataloğuna eklediği güvenlik açıkları, kurumlar açısından öncelikli olarak kapatılması gereken riskler arasında kabul ediliyor.

Güncellenmeyen Windows Sistemleri Risk Altında Kalmaya Devam Ediyor

Son aylarda “Nightmare Eclipse” tarafından açıklanan GreenPlasma, MiniPlasma, YellowKey, RoguePlanet, RedSun ile UnDefend gibi diğer Windows güvenlik açıklarının önemli bölümü de Microsoft tarafından kademeli olarak kapatıldı. Söz konusu açıkların bazıları Microsoft Defender’ı hedef alırken bazıları BitLocker ile Windows’un çekirdek bileşenlerini etkiliyordu.

Siber güvenlik uzmanları, yerel ayrıcalık yükseltme açıklarının tek başına uzaktan saldırıya izin vermediğini ancak sisteme ilk erişimi sağlayan tehdit aktörlerinin yetkilerini genişletmesinde kritik rol oynadığını belirtiyor. Bu nedenle Microsoft Patch Tuesday güncellemeleri, CISA KEV kataloğu, fidye yazılımı saldırıları, Windows ayrıcalık yükseltme açığı ile Microsoft Defender zafiyetleri gibi güvenlik uyarılarının yakından takip edilmesi, kurumsal sistemlerin korunması açısından önem taşıyor.