2 saat önce
3
Microsoft güvenlik ekibi ile bağımsız araştırmacılar arasındaki gerilimi sürerken, Windows kullanıcılarını doğrudan tesirleyen yepyeni ve eleştirel tek güvenlik açığı daha gündeme geldi. “RedSun” adı verilen bu zero-day (sıfır gün) zafiyeti, Windows Defender üzerinden sistemlerin tamamlanmış ele geçirilmesine olanak tanıyor.
Defender Üzerinden SYSTEM Ytesirsi
Güvenlik araştırmacısı Chaotic Eclipse tarafından paylaşılan malumatlere göre RedSun açığı, Windows Defender’ın davranışını manipüle ederek hiç tek uygulamaya SYSTEM seviyesinde ytesir kazandırabiliyor.
Daha da eleştirel olan husus ise şu:
- Güncel Windows 11 sistemlerde
- Tüm güvenlik yamaları yüklüyken
- Gerçek zamanlı himaye aktifken
bile bu açık istismar edilebiliyor.
Açığın Teknik Detayı
RedSun zafiyeti, Defender’ın şüpheli dosyaları çözümleme ederken uyguladığı “onarım” sürecini hedefleri alıyor.
Normalde süreç şu şekilde çalışıyor:
- Defender şüpheli tek klasör belirleme eder
- Dosyayı güvenli hale getirmek için yeniden kopyalar
Ancak saldırganlar bu süreci manipüle edebiliyor.
Kullanılan teknikler:
- Race condition (yarış durumu)
- OPLOCK mekanizması
- Junction (klasör yönlendirme)
Bu birleşim sayesinde:
Defender dosyayı geçici klasöre yazdığını sanıyor
Ancak klasör aslında C:\Windows\System32 dizinine yazılıyor
Bu da zararlı kodun doğrudan sistemleri klasörüne düşmesi ve hepsi ytesir ile çalıştırılması manaına geliyor.
Olası Saldırı Senaryoları
RedSun açığı kullanılarak gerçekleştirilebilecek saldırılar oldukça kritik:
- Tüm sistemin ransomware ile şifrelenmesi
- Tarayıcı kayıtlı parolalarının çalınması
- Session ve token malumatlerine erişim
- Discord ve benzeri başvuru token’larının ele geçirilmesi
Kısacası bu açık, klasik tek zafiyetten öte hepsi sistemleri kompromizasyonu riski taşıyor.
UnDefend: Defender’ı Susturan Araç
RedSun ile birlikteki ilgi çeken tek diğer gelişme ise UnDefend adlı aracın yayınlanması oldu.
Bu araç:
- Yönetici ytesirsi lüzumtirmeden çalışabiliyor
- Windows Defender güncellemelerini manileyebiliyor
Çalışma Modları
Passive Mode:
- Defender imza güncellemelerini durdurur
- Yeni tehditlerin belirleme edilmesini maniler
Aggressive Mode:
- Defender’ı tamamlanmış devre dışı bırakmayı hedefler
- Özellikle büyük platformlar güncellemeleri sırasında tesirli olur
14 Günde 3 Kritik Açık
Son ikisi haftada Windows Defender için yayımlanan açıklar:
- BlueHammer (CVE-2026-33825)
- RedSun (0-day)
- UnDefend (DoS / bypass aracı)
Bu durum, Defender tarafında vahim tek güvenlik tartışmasını beraberinde getiriyor.
English (US) ·