Microsoft, Defender antivirüs yazılımında bulunan ve halihazırda aktif saldırılarda istismar edilen iki sıfır gün güvenlik açığı için yamalar yayınlamaya başladı. Şirket, bu açıklardan birinin ayrıcalık yükseltmeye olanak tanıdığını, diğerinin ise sistemlerde hizmet reddi durumlarına yol açtığını doğruladı. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu iki Microsoft Defender açığı nedeniyle federal kurumlara sistemlerini iki hafta içinde güncelleme zorunluluğu getirdi.

Ayrıcalık Yükseltme ve Hizmet Reddi Açıkları Güvenlik Duvarını Deliyor

CVE-2026-41091 numarasıyla takip edilen ilk antivirüs güvenlik açığı, Microsoft Kötü Amaçlı Yazılım Koruma Motoru’nun 1.1.26030.3008 ve daha eski sürümlerini etkiliyor. Bu motor, Microsoft antivirüs ve casus yazılım karşıtı ürünlerin tarama, algılama ve temizleme işlevlerini sağlıyor. Güvenlik açığı, dosya erişimi öncesinde hatalı bağlantı çözümlemesinden kaynaklanırken, saldırganlara SYSTEM düzeyinde ayrıcalık kazandırma potansiyeli taşıyor. Bu ayrıcalık yükseltme hatası sayesinde tehdit aktörleri, normalde erişemeyecekleri sistem kaynaklarına yetkisiz şekilde ulaşabiliyor.

👉️ İlginizi Çekebilir: GitHub Çalışanının Yüklediği Kötü Amaçlı VS Code Eklentisi 3.800 Depoyu Tehlikeye Attı

İkinci açık ise CVE-2026-45498 olarak kayıtlara geçti ve Microsoft Defender Antimalware Platformu’nun 4.18.26030.3011 ve öncesini hedef alıyor. Bu platform aynı zamanda Microsoft’un System Center Endpoint Protection, System Center 2012 R2 Endpoint Protection, System Center 2012 Endpoint Protection ve Security Essentials ürünleri tarafından da kullanılıyor. Microsoft’a göre bu açığın başarılı şekilde istismar edilmesi, tehdit aktörlerinin yamalanmamış Windows cihazlarında hizmet reddi saldırısı düzenlemesine imkan tanıyor. Saldırganlar bu yöntemle sistemleri çökertip kullanılamaz hale getirebiliyor.

Microsoft Otomatik Güncellemeleri Önerirken CISA Federal Kurumlara Süre Verdi

Microsoft, iki güvenlik açığını kapatmak için sırasıyla Kötü Amaçlı Yazılım Koruma Motoru sürüm 1.1.26040.8 ve Antimalware Platform sürüm 4.18.26040.7’yi yayınladı. Şirket, “Microsoft antimalware yazılımındaki varsayılan yapılandırma, kötü amaçlı yazılım tanımlarının ve Windows Defender Antimalware Platformu’nun otomatik olarak güncel kalmasını sağlamaya yardımcı olur” diyerek kullanıcıların ekstra bir şey yapmasına gerek olmadığını belirtti. Ancak yine de kullanıcıların, Windows Defender Antimalware Platform güncellemeleri ile kötü amaçlı yazılım tanımlarının otomatik kuruluma yapılandırılıp yapılandırılmadığını kontrol etmesi öneriliyor. Bu Windows güvenlik yaması süreci, özellikle kurumsal ağlarda yama yönetimi ekiplerinin dikkatle takip etmesi gereken bir adım olarak öne çıkıyor.

CISA ise dün yayınladığı emirle federal kurumlara bu iki Microsoft Defender sıfır gün açığına karşı sistemlerini korumalarını zorunlu kıldı. Ajans, açıkları Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na eklerken, Federal Sivil Yürütme Dairesi’ne bağlı kurumlara Windows uç noktalarını ve sunucularını iki hafta içinde, en geç 3 Haziran’a kadar güvence altına alma talimatı verdi. Bu CISA acil uyarısı kapsamında, ajans “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık kullanılan bir saldırı vektörüdür ve federal kuruluşlar için önemli riskler oluşturmaktadır” ifadelerine yer verdi.

Kullanıcılar Güncelleme Durumunu Windows Security Üzerinden Kontrol Edebilir

Microsoft, kullanıcıların güncellemelerin başarıyla yüklenip yüklenmediğini kontrol etmek için izleyebileceği adımları da paylaştı. Kullanıcıların öncelikle Windows Security programını açması (örneğin arama çubuğuna “Security” yazıp Windows Security’yi seçmesi) gerekiyor. Ardından gezinme bölmesinden Virüs ve tehdit koruması seçeneğine tıklanmalı, ardından Koruma güncellemeleri bölümüne girilmelidir. Kullanıcılar daha sonra Güncellemeleri denetle butonuna basmalı ve gezinme bölmesinden Ayarlar ardından Hakkında seçeneğine tıklamalıdır.

Antimalware İstemci Sürüm numarasının kontrol edilmesiyle, Kötü Amaçlı Yazılım Koruma Platformu sürüm numarasının veya imza paketi sürüm numarasının, yüklenen sürümden yüksek veya ona eşit olduğu durumda güncellemenin başarıyla tamamlandığı anlaşılır. Microsoft ayrıca bu hafta başında, saldırganların korumalı sürücülere erişmesine olanak tanıyan ve yakın zamanda açıklanan Windows BitLocker sıfır gün açığı için de geçici çözümler paylaştı.