
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Microsoft Defender’da bulunan BlueHammer güvenlik açığının fidye yazılımı grupları tarafından aktif olarak istismar edildiğini doğruladı. CVE-2026-33825 koduyla takip edilen yüksek önem derecesine sahip açık, yerel ayrıcalık yükseltmeye imkân tanırken saldırganların Windows sistemlerinde SYSTEM yetkisi elde etmesine olanak sağlıyor. CISA, güncel değerlendirmesinde açığın artık yalnızca hedefli saldırılarda değil fidye yazılımı operasyonlarında da kullanıldığını bildirdi.
BlueHammer Açığı Saldırganlara SYSTEM Yetkisi Kazandırıyor
Microsoft’un güvenlik bültenine göre BlueHammer, Microsoft Defender’daki erişim kontrolü mekanizmasındaki yetersizlikten kaynaklanıyor. Yerel erişime sahip yetkili bir saldırgan, bu zafiyetten yararlanarak işletim sistemi üzerinde ayrıcalıklarını yükseltebiliyor. Güvenlik araştırmacısı Will Dormann’ın değerlendirmesine göre başarılı bir istismar sonrasında saldırganlar Windows’un Security Account Manager (SAM) veritabanına erişebiliyor. Bu veritabanında yerel kullanıcı hesaplarına ait parola özetleri bulunduğu için saldırganlar SYSTEM ayrıcalıklarına ulaşarak hedef bilgisayar üzerinde tam kontrol sağlayabiliyor. Microsoft, BlueHammer açığını Nisan 2026 Patch Tuesday güncellemeleri kapsamında yayımladığı güvenlik yamasıyla kapattı.

BlueHammer güvenlik açığı, Nisan ayının başında “Nightmare Eclipse” takma adını kullanan bir güvenlik araştırmacısı tarafından kavram kanıtı (PoC) koduyla birlikte kamuoyuna açıklanmıştı. Araştırmacı, Microsoft Security Response Center’ın güvenlik açığı bildirim sürecine tepki göstermek amacıyla ayrıntıları yayımladığını belirtmişti. Kısa süre sonra Huntress Labs araştırmacıları, açığın yama yayımlanmadan önce sıfır gün saldırılarında kullanıldığına ilişkin bulgular elde ettiklerini açıkladı. Analizlerde, saldırganların hedef sistemlerde doğrudan etkileşim kurarak hareket ettiği “hands-on-keyboard” faaliyetleri de tespit edildi.
CISA Fidye Yazılımı Tehdidi Nedeniyle Kurumları Yeniden Uyardı
CISA, BlueHammer açığını daha önce Bilinen İstismar Edilen Güvenlik Açıkları (Known Exploited Vulnerabilities – KEV) kataloğuna ekleyerek ABD’deki Federal Sivil Yürütme Kurumu (FCEB) kuruluşlarından belirlenen süre içinde güvenlik güncellemelerini yüklemelerini istemişti. Ajansın son güncellemesi ise tehdidin boyutunun büyüdüğünü ortaya koyuyor. CISA, CVE-2026-33825 açığının artık fidye yazılımı grupları tarafından da kullanıldığını doğrulayarak kurumların yamalama süreçlerini geciktirmemesi gerektiğini vurguladı. Microsoft ise haberde yer alan son bilgiler itibarıyla açığı resmî güvenlik bülteninde “aktif olarak istismar ediliyor” etiketiyle işaretlemiş değil.
Araştırmacılar, yerel ayrıcalık yükseltme açıklarının fidye yazılımı operasyonlarında kritik rol oynadığına dikkat çekiyor. Saldırganlar ilk erişimi oltalama saldırıları, çalınan kimlik bilgileri veya farklı güvenlik açıklarıyla elde ettikten sonra bu tür zafiyetleri kullanarak yönetici haklarına yükseliyor. Ardından güvenlik yazılımlarını devre dışı bırakabiliyor, kimlik bilgilerini ele geçirebiliyor, ağ içerisinde yatay hareket gerçekleştirerek fidye yazılımını çok daha geniş sistemlere yayabiliyor. Bu nedenle ayrıcalık yükseltme açıkları, doğrudan uzaktan kod çalıştırma sağlamasa bile yüksek risk grubunda değerlendiriliyor.
BlueHammer, son aylarda Nightmare Eclipse tarafından açıklanan tek Windows güvenlik açığı değil. Aynı araştırmacı daha önce RoguePlanet, RedSun, GreenPlasma, MiniPlasma, YellowKey ile UnDefend olarak adlandırılan başka sıfır gün açıklarını da yayımlamıştı. Microsoft, GreenPlasma, MiniPlasma ve YellowKey açıklarını Haziran 2026 Patch Tuesday güncellemelerinde giderirken diğer güvenlik açıklarına yönelik çalışmalarını sürdürüyor. CISA verilerine göre son yıllarda Microsoft Defender’da istismar edilen sekiz farklı güvenlik açığı KEV kataloğuna eklendi. Bunların ikisinin fidye yazılımı grupları tarafından kullanıldığının doğrulanması, uç nokta güvenliğinde düzenli yama yönetiminin kritik önemini bir kez daha ortaya koyuyor.




