Microsoft, Windows Uzaktan Yardım’da bir güvenlik özelliği atlama güvenlik açığı olarak CVE-2026-20824’ün ayrıntılarını yayımladı ve CVSS v3.1 temel puanı 5,5 (geçici 4,8) ile “Önemli” bir önem derecesi atadı.
Sorun, CWE-693 (Koruma Mekanizması Arızası) kapsamında kategorize edilmiştir; bu, temel savunma kontrollerinin belirli koşullar altında amaçlandığı gibi çalışmadığı anlamına gelir.
Kusur, doğası gereği yereldir (AV:L), ancak hiçbir ayrıcalık gerektirmez (PR:N) ve yalnızca düşük saldırı karmaşıklığı (AC:L), bu da onu uzlaşma sonrası veya içeriden öğrenilen senaryolarda çekici kılar.
Başarılı bir şekilde yararlanma, gizliliğin (C:H) üzerinde yüksek bir etkiye yol açarken bütünlüğü ve kullanılabilirliği (I:N/A:N) etkilemeden bırakır ve sistemin tamamının ele geçirilmesi yerine veri sızıntısı veya gizlilikten kaçınma riskine uyum sağlar.
Microsoft şu anda istismar edilebilirliği “Kötüye Kullanım Olasılığı Daha Az” olarak derecelendiriyor ve piyasaya sürüldüğü sırada herhangi bir kamuya açık istismar veya açık saldırı bildirilmedi.
Teknik olarak güvenlik açığı, Windows Uzaktan Yardım’ın, yardım oturumlarının başlatılması veya işlenmesinde yer alan özel hazırlanmış dosyaları işleme biçiminden kaynaklanıyor ve böylece bir saldırganın normalde güvenilmeyen içerik için geçerli olan güvenlik kontrollerini atlamasına olanak tanıyor.
Saldırgan, bu koruma hatasından yararlanarak belirli SmartScreen ve Office gibi MOTW odaklı güvenlik önlemlerinden veya normalde dosyalar internet bölgesinden geldiğinde uygulanan komut dosyası kısıtlamalarından kaçabilir.
Bu, CVE-2026-20824’ü, temel tehlikenin yeni bir kod yürütme vektörü değil, içeriği olması gerekenden daha güvenilir bir bağlam altında çalıştırma veya açma yeteneği olduğu, giderek büyüyen bir Windows MOTW bypass sınıfına yerleştirir.
Saldırı Senaryoları, Etkilenen Sürümler ve Yama Uygulaması
Kurbanların Uzaktan Yardım mantığını tetiklemek için e-posta, anlık mesaj veya web indirme yoluyla gönderilen özel hazırlanmış bir dosyayı açması gerektiğinden, istismar kullanıcı etkileşimi (UI:R) gerektirir.
Bir e-posta senaryosunda, saldırgan kötü amaçlı dosyayı gönderir ve kullanıcıyı dosyayı açmaya ikna etmek için sosyal mühendisliğe güvenir; Bir web senaryosunda, saldırgan dosyayı kontrollü veya güvenliği ihlal edilmiş bir sitede barındırır ve kullanıcıyı dosyayı tıklayıp ardından yerel olarak açmaya teşvik eder.
Güvenlik açığı yerel olduğundan ve doğrudan uzaktan kod yürütülmesini sağlamadığından, diğer hatalarla zincirlendiğinde veya zaten sınırlı erişime sahip olan ve içerik kaynaklı korumaları sessizce atlatmak isteyen tehdit aktörleri tarafından kullanıldığında en güçlüsüdür.
Microsoft, başarılı bir istismarın Web İşareti savunmalarından kaçılmasına olanak sağladığını, aşağı yöndeki güvenlik araçlarının ve içeriğin ne kadar agresif bir şekilde taranacağına veya sandbox içeriğinin ne kadar agresif bir şekilde taranacağına karar vermek için MOTW işaretlerine dayanan iş akışlarına zarar verdiğini doğrulamaktadır.
Bu, örneğin uyarı istemlerini azaltabilir, makro veya komut dosyası kısıtlamalarını zayıflatabilir veya kötü amaçlı yüklerin, harici bir kaynaktan gelmiş olsalar bile güvenilir yerel dosyalar olarak görünmesine yardımcı olabilir.
CVE-2026-20824, düzeltmelerle birlikte Windows 10 21H2 ve 22H2, Windows 11 23H2, 24H2 ve 25H2’nin yanı sıra Windows Server 2012, 2012 R2, 2016, 2019, 2022 ve yeni Windows Server 2025 dahil olmak üzere çok çeşitli desteklenen Windows istemci ve sunucu sürümlerini etkiler 13 Ocak 2026 Yaması Salı güncellemelerinde.
Yamalar, KB5073724 (Windows 10 21H2/22H2), KB5073455 (Windows 11 23H2), KB5074109 (Windows 11 24H2/25H2), KB5073457 (Windows Server 2022), KB5073379 (Windows Server) gibi toplu veya aylık toplu güncellemeler halinde gönderilir 2025), KB5073723 (Windows 10 1809/Windows Server 2019) ve eski sunucu sürümleri için ilgili KB’ler.
Microsoft, müşteri eylemini gerektiği gibi etiketleyerek yöneticileri, Uzaktan Yardım için uygun MOTW uygulamasını geri yüklemek üzere 13 Ocak 2026 güvenlik güncelleştirmelerini etkilenen tüm Windows yapılarına dağıtmaya çağırıyor.
Güncelleştirmeler tamamen kullanıma sunulana kadar kuruluşların e-posta ve web filtrelemesini sıkılaştırması, yüksek riskli ortamlarda Windows Uzaktan Yardım kullanımını kısıtlaması ve istenmeyen yardım davetleri ve bilinmeyen dosya ekleri konusunda kullanıcıların farkındalığını güçlendirmesi gerekiyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.