Notebookcheck Logo

Microsoft, canlı saldırılarda istismar edilen Defender sıfır günlerini yamaladı

Microsoft, aktif olarak istismar edilen iki sıfır gün için acil Defender yamaları yayınladı.
ⓘ Microsoft.com
Microsoft, aktif olarak istismar edilen iki sıfır gün için acil Defender yamaları yayınladı.
Microsoft, Huntress'in saldırılarda gerçek dünyada kullanıldığını doğrulamasının ardından, aktif olarak istismar edilen iki Defender sıfır açığı olan RedSun ve UnDefend için bant dışı yamalar yayınladı.
Business Desktop Hack / Data Breach Laptop / Notebook Microsoft Software Windows

21 Mayıs 2026'da Microsoft, gerçek saldırıların daha önce doğruladığı iki Windows Defender sıfır gün açığı için bant dışı yamalar yayınladı. Araştırmacı Chaotic Eclipse, kamuoyunda RedSun ve UnDefend olarak bilinen her iki güvenlik açığını da koordineli bir açıklama yapmadan ifşa etti. İlk yayınlandıklarında CVE'leri ve düzeltmeleri yoktu. Uç nokta güvenlik firması Huntress, yamalar mevcut olmadan önce aktif istismarı doğruladı.

İki sıfır gün ne yapar

İkisinden daha ciddi olanı, CVE-2026-41091cVSS puanı 7.8'dir ve Microsoft Malware Protection Engine'i hedef almaktadır. Kusur, dosya erişiminden önce hatalı bir bağlantı çözümlemesinden kaynaklanmaktadır, bu da düşük ayrıcalıklı bir saldırganın Defender taraması sırasında sembolik bir bağlantıyı veya dizin bağlantısını manipüle etmesine ve tam SİSTEM düzeyinde kontrole yükselmesine olanak tanır. Yükseltilmiş başlatma izinlerine gerek yoktur.

İkincisi, CVE-2026-45498cVSS 4.0 olarak derecelendirilmiştir ve Microsoft Defender Antimalware Platformunu hedef almaktadır. Koruma motorunun kendisine karşı bir hizmet reddi işlevi görür, tanım güncellemelerini sessizce engeller ve Defender'ın yeni tehditleri tespit etme yeteneğini azaltır. Açık, standart Defender kurulumlarının yanı sıra System Center Endpoint Protection, System Center 2012 R2 ve 2012 Endpoint Protection ve Security Essentials'ı da etkilemektedir. Her iki güvenlik açığı da istismar sırasında kullanıcıya veya yöneticiye görünür bir uyarı tetiklemez.

Yama neleri kapsıyor ve neleri açık bırakıyor

Her iki CVE de Malware Protection Engine sürüm 1.1.26040.8 ve Antimalware Platform sürüm 4.18.26040.7'de çözülmüştür. Microsoft, düzeltmeleri Defender'ın yerleşik güncelleme mekanizması aracılığıyla otomatik olarak sunar. Yöneticiler, özellikle otomatik güncellemelerin gecikebileceği hava boşluklu veya yönetilen ortamlarda, dağıtımlarının bu sürümleri veya daha yenilerini çalıştırdığını doğrulamalıdır.

CISA her iki güvenlik açığını da Bilinen İstismara Açık Güvenlik Açıkları listesine eklemiştir kataloğunu 20 Mayıs 2026'da yayınlayarak Federal Sivil Yürütme Şubesi kurumlarına yamayı onaylamaları için 3 Haziran'a kadar süre tanımıştır. CVE-2026-41091'i çözen aynı motor güncellemesi, kullanıcı etkileşimi olmadan uzaktan kod yürütülmesine izin veren 8.1 CVSS değerine sahip yığın tabanlı bir arabellek taşması olan CVE-2026-45584 adlı üçüncü bir kusuru da gidermektedir. CVE-2026-45584'ün henüz vahşi ortamda istismar edildiği doğrulanmamıştır.

RedSun ve UnDefend, Chaotic Eclipse tarafından son altı hafta içinde yayınlanan ve tümü Windows güvenlik bileşenlerini hedef alan dördüncü ve beşinci sıfır günlerdir. MiniPlasmabulut Filtresi sürücüsü aracılığıyla tamamen yamalı Windows 11 makinelerinde SİSTEM erişimi sağlayan bu açık hala yamalanmamıştır. Bu açıklama ve daha geniş bir seri içindeki bağlamı hakkında daha fazla bilgi için önceki raporumuza bakın:

Google LogoAdd as a preferred source on Google
Mail Logo

İlgili makaleler

> Notebooklar Hakkında Aradığınız Herşey > Haberler > Haber Arşivi > Haber arşivi 2026 05 > Microsoft, canlı saldırılarda istismar edilen Defender sıfır günlerini yamaladı
Darryl Linington, 2026-05-22 (Update: 2026-05-22)