Endpoint için Microsoft Defender’da yeni açıklanan bir güvenlik kusuru, yerel erişimi olan saldırganların ayrıcalıklarını sistem seviyesine yükseltmesine ve etkilenen sistemler üzerinde tam kontrol sahibi olmalarına izin verebilir.
CVE-2025-26684 olarak izlenen güvenlik açığı, Microsoft’un Mayıs 2025 Patch Salı güvenlik güncellemelerinin bir parçası olarak yamalandı.
Güvenlik araştırmacıları, güvenlik açığını, Microsoft Defender’da, yetkili bir saldırgan tarafından yerel olarak ayrıcalıkları yükseltmek için kullanılabilecek “dosya adı veya yolun harici kontrolü” zayıflığının “zayıflığı” olarak tanımladılar.
.png
)
Güvenlik açığı, 10 üzerinden 6,7 CVSS puanı aldı ve onu “kritik” yerine “önemli” bir ciddiyet olarak sınıflandırdı.
CVE-2025-26684’ün teknik detayları
Resmi Microsoft Güvenlik Müdahale Merkezi Danışmanlığına göre, bu güvenlik açığını başarıyla kullanan bir saldırgan, sistem ayrıcalıkları kazanabilir ve esasen kendilerini tehlikeye atılan sistem üzerinde tam kontrol sağlayabilir.
Bu erişim düzeyi, kötü amaçlı aktörlerin programları yüklemesine, verileri değiştirmesine veya silmesine ve tam idari haklara sahip hesaplar oluşturmasına izin verecektir.
“Güvenlik açığı, Microsoft Defender’daki dosya yollarını uç nokta için işlerken kullanıcı tarafından sağlanan girdinin uygunsuz doğrulanmasından kaynaklanıyor” diye açıklıyor Stratascale’den siber güvenlik uzmanı Rich Mirch, kusuru keşfetmekle kredilendiriyor.
“Söz konusu olduğunda, saldırganların kısıtlı sistem kaynaklarına erişmek için dosya işlemlerini manipüle etmesine izin veriyor.”
Güvenlik açığı, 101.25xxx öncesinde Linux sürümleri için uç nokta için Microsoft Defender’ı özellikle etkiler.
Bu güvenlik çözümünü yürüten kuruluşlar, en son güvenlik güncellemesini derhal uygulamalarını sağlamalıdır.
Microsoft, sömürülebilirlik değerlendirmesini “sömürü olası değil” olarak sınıflandırmıştır, bu da güvenlik açığı ciddi olsa da, şirketin yaygın sömürü olasılığının nispeten düşük olduğuna inanmaktadır.
Şirket ayrıca, bu güvenlik açığının yama sürümünden önce vahşi doğada kamuya açıklandığına veya kullanıldığına dair hiçbir kanıt olmadığını doğruladı.
Güvenlik açığı, güvenlik araştırmacıları Astralurekeka ve Stratascale’den Rich Mirch’e verilen kredi ile koordineli güvenlik açığı açıklaması ile keşfedildi.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | 101.25xxx’ten önce Endpoint (Linux) sürümleri için Microsoft Defender |
| Darbe | Sistem düzeyinde erişime yerel ayrıcalık artışı |
| Önkoşuldan istismar | – Yerel erişim- yüksek ayrıcalıklar (yetkili kullanıcı gerekli) |
| CVSS 3.1 puanı | 6.7 (önemli) |
Hemen yama
Bu güvenlik açığı, Microsoft’un Mayıs 2025 yamasında Salı günü yapılan 78 güvenlik kusurundan biriydi.
Güvenlik yöneticileri, potansiyel olarak etkilenen cihazlarda MDE istemci analizörünü çalıştırarak güncellemenin yüklendiğini doğrulayabilir.
Microsoft’un danışmanlık raporuna göre, “Analizörü güvenlik güncellemesi olmayan bir Windows cihazında çalıştırırken, analizör eksik yamayı gösteren ve ilgili çevrimiçi makalelere yönlendiren bir uyarı (ID 121035) sunacaktır.”
Bu kusur, özellikle sistemleri diğer tehditlerden korumak için tasarlanmış güvenlik ürünleri için güvenlik yamalarının derhal uygulanmasının devam eden önemini vurgulamaktadır.
Microsoft Defender’ın savunma aracı olarak hizmet etmesi amaçlanırken, güvenlik ürünleri içindeki güvenlik açıkları, istismar edilirse önemli risk oluşturabilir.
Endpoint için Microsoft Defender’ı kullanan kuruluşlar, en son güvenlik güncellemelerinin düzenli yama yönetimi döngülerinin bir parçası olarak yüklenmesine öncelik vermelidir.
Hemen yama yapmanın mümkün olmadığı ortamlar için, güvenlik ekipleri şüpheli ayrıcalık artış girişimleri ve sömürü girişimlerini gösterebilecek olağandışı sistem düzeyinde faaliyetler için ek izleme uygulamalıdır.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri