Microsoft Defender için ortaya çıkan yeni bir zero-day açığı, tam güncel Windows 10 ile Windows 11 sistemlerinde SYSTEM yetkisi elde edilmesine imkân tanıyan bir istismar yöntemini gündeme taşıdı. Haziran 2026 güvenlik güncellemelerinin yayımlanmasından yalnızca saatler sonra paylaşılan teknik ayrıntılar, Microsoft Defender güvenliğine ilişkin yeni soru işaretleri oluşturdu. Microsoft ise araştırmacının son iddiaları hakkında henüz resmî bir açıklama yapmadı.

RoguePlanet İstismarı Farklı Windows Sürümlerinde Test Edildi

Güvenlik araştırmacısı Nightmare Eclipse, “RoguePlanet” adını verdiği yeni istismarı kendi barındırdığı kod deposunda yayımlarken GitHub ile GitLab üzerindeki önceki depolarının kaldırıldığını öne sürdü. Araştırmacının paylaştığı bilgilere göre açık, Microsoft Defender içinde bulunan bir yarış durumu (race condition) zafiyetinden yararlanarak komut istemini SYSTEM ayrıcalıklarıyla çalıştırabiliyor. Testlerin Haziran 2026 yamalarını alan Windows 10 sistemleriyle Windows 11’in resmî ve Canary sürümlerinde gerçekleştirildiği belirtilirken, istismarın bazı bilgisayarlarda ilk denemede sonuç verdiği, bazı sistemlerde ise farklı deneme sayıları gerektirdiği ifade edildi. Yazıda Windows ayrıcalık yükseltme açığı ifadesi de teknik kapsamı tanımlayan terimler arasında yer aldı.

Siber güvenlik şirketi ThreatLocker, kendi laboratuvar ortamında yaptığı incelemede istismarı yeniden oluşturduğunu açıkladı. Şirketin aktardığı bulgulara göre KB5094126 güncellemesini yükleyen tam yamalı Windows 11 cihazlarında yöntem başarıyla çalıştı. ThreatLocker Üst Yöneticisi Danny Jenkins, uygulama beyaz listeleme politikalarının etkin olduğu kurumsal ortamlarda saldırının yürütülmesinin engellenebileceğini belirtirken, savunma katmanlarının önemine işaret etti. Teknik değerlendirmelerde Windows 11 güvenlik açığı aramalarıyla ilişkilendirilebilecek ayrıntılar da öne çıktı.

👉️ İlginizi Çekebilir: Sentry Kullanan Kurumlara Uyarı: Ivanti İki Kritik Açığı Kapatıyor

Nightmare Eclipse, RoguePlanet’in ilk geliştirme aşamasında Microsoft Defender’ın uzak SMB paylaşımlarındaki dosyaları işleme biçimini hedeflediğini anlattı. Araştırmacının açıklamasına göre saldırganın kurbanı uzak bir SMB sunucusundaki VHD veya VHDX dosyasını açmaya yönlendirmesi durumunda Defender’ın kendi dosyalarını üzerine yazdığı, bunun da uzaktan kod çalıştırma senaryosuna kapı araladığı değerlendirildi. Araştırmacı ayrıca sembolik bağlantı değerlendirme ayarlarının açık olduğu sistemlerde yalnızca SMB paylaşımının açtırılmasıyla farklı saldırı yollarının oluşabileceğini savundu. Haberde geçen SMB uzaktan kod çalıştırma senaryosu, araştırmanın ilk aşamasındaki teknik hedeflerden biri olarak öne çıktı.

Mayıs Ayındaki Değişiklikler Saldırı Zincirini Etkiledi

Araştırmacı, Microsoft’un mayıs ayının ortasında Defender içinde yer alan “mpengine!SysIO*” API bileşenini sessiz şekilde güçlendirdiğini ileri sürdü. Yapılan değişiklik sonrasında junction tabanlı saldırı yöntemlerinin engellendiğini söyleyen Nightmare Eclipse, RoguePlanet’i yeniden çalışır hâle getirmenin beklediğinden daha zor olduğunu ifade etti. Araştırmacı, mevcut sürümün yalnızca yerel ayrıcalık yükseltme ile sınırlı kalıp kalmadığının veya yeniden uzaktan kod çalıştırmaya dönüştürülebilecek yeni bir yol bulunup bulunmadığının henüz netleşmediğini aktardı. Metin içerisinde Defender race condition açığı ifadesi de ilgili teknik yaklaşımı tanımlayan varyasyonlardan biri olarak kullanıldı.

Haziran 2026 Yama Salısı kapsamında Microsoft, daha önce açıklanan GreenPlasma ile YellowKey açıklarını kapattı. RoguePlanet’in yayımlanması ise araştırmacıyla Microsoft arasında uzun süredir devam eden güvenlik açığı bildirim sürecine ilişkin anlaşmazlığı yeniden gündeme taşıdı. Nightmare Eclipse, daha önce BlueHammer, RedSun, GreenPlasma ile YellowKey adını verdiği farklı sıfır gün açıklarını kamuoyuyla paylaşmıştı. Microsoft ise önceki açıklamalarında müşterilere zarar veren kötü niyetli faaliyetler karşısında kolluk kuvvetleriyle iş birliği yapılabileceğini belirtmişti. Şirket, RoguePlanet hakkında yöneltilen son sorulara haberin yayımlandığı ana kadar resmî yanıt vermedi.