Siber güvenlik dünyasına adım attığından beri, Nightmare-Eclipse (diğer adıyla Chaotic-Eclipse), Microsoft Güvenlik Yanıt Merkezi'nin baş ağrısı olmaya devam ediyor. Güvenlik uzmanı ile Redmond merkezli teknoloji devinin arasındaki uzun süredir devam eden bu çekişme, bu hafta RoguePlanet ve GreatXML güvenlik açıklarının yayınlanmasıyla yeni bir boyut kazandı.
RoguePlanet, muhtemelen en tehlikeli olanı. Bu açık, Windows Defender'daki bir zafiyeti kullanarak SYSTEM kullanıcı erişim yetkileri elde ediyor. Bu sayede saldırganlar, standart yönetici seviyesinden bile daha yüksek bir yetkiyle komutlar çalıştırabiliyor. Temel işleyişi oldukça basit: Bir kullanıcıyı bir betik çalıştırmaya ikna etmek yeterli. Ardından bu betik, makine üzerinde tam erişim sağlayarak tüm verileri çalmaya, zararlı yazılımları gizlice yüklemeye veya daha pek çok kötü niyetli faaliyete olanak tanıyor.
RoguePlanet'in, ISO bağlama ve Birim Anlık Görüntüsü (Volume Shadow Copy) arasındaki bir yarış durumundan (race condition) faydalandığını belirtmek gerekir. Bu, açığın zamanlamaya bağlı olduğu ve her zaman tetiklenmeyebileceği anlamına geliyor. Açığı keşfeden araştırmacı, belirli sistemlerde %100 başarı elde ettiğini ancak bazı diğer sistemlerde çalıştırmakta zorlandığını ifade ediyor.
Araştırmacının belirttiğine göre, RoguePlanet en güncel Haziran 2026 yamalarına sahip tam güncel bir Windows sisteminde çalışıyor. Ayrıca, Windows Server'ın da benzer şekilde savunmasız olduğuna inanılıyor. Bu durum, sunucu sürümlerindeki kullanıcıların varsayılan olarak ISO bağlayamaması gerçeği etrafında kavram kanıtı (proof-of-concept) kodunun yeniden tasarlanmasını gerektirebilir.
GreatXML'e gelince, bu açık BitLocker şifrelemesini atlatmanın bir başka yolu olarak karşımıza çıkıyor. YellowKey kadar korkutucu olmasa da, açıklığın tetiklenmesi için gereken koşullar oldukça sıkı. Ancak yine de Microsoft için biraz utanç verici bir durum. Bu atlatmayı gerçekleştirmek için saldırganın özel olarak hazırlanmış bir "unattend.xml" dosyası ve "Recovery" adlı bir klasörü Windows'un kurtarma bölümüne yazması gerekiyor. Ardından, eğer Windows Defender Çevrimdışı Tarama çalıştırılmışsa veya geçmişte çalıştırılmışsa, bilgisayar kurtarma ortamına yeniden başlatıldığında BitLocker ile korunan sürücü sorunsuz bir şekilde açılabiliyor.
Saldırgan için bu gerekliliklerin karşılanması oldukça zorlu bir engel teşkil ediyor. Ancak bu yaklaşımın geçerliliği, BitLocker ve Windows Kurtarma Ortamı'nda (WinRE) hala mevcut olabilecek gizli geçitler hakkında soruları gündeme getiriyor. Araştırmacı, oturum açmadan bir Defender Çevrimdışı Tarama'yı tetiklemenin mümkün olabileceğine inanıyor, ancak bu henüz kesinleşmiş bir durum değil. Bununla birlikte, yarın bu yöntemi gerçekleştirebilecek bir yol bulmaları şaşırtıcı olmayacaktır.
Araştırmacının Microsoft ile yaşadığı anlaşmazlık sonucunda GitHub hesabının kapatılmasıyla birlikte, güvenlik uzmanı kavram kanıtı kodlarını daha kısıtlayıcı olmayan bir platform olan Church of Malware'e taşıdı. İlginç bir şekilde, araştırmacının farklı bir GitHub hesabı hala yayında.
Microsoft daha önce araştırmacı hakkında yasal işlem tehdidinde bulunmuştu, ancak daha sonra bu tutumundan vazgeçti. Diğer yandan, araştırmacı daha önce 14 Temmuz'da toplu olarak sıfır gün Windows güvenlik açıklarını açıklama tehdidinde bulunmuştu. Ancak bu tehditten de geri adım atıldığı belirtiliyor. RoguePlanet'in hazırlanmasının beklenenden daha fazla zaman aldığı ve bir ara verebileceği, bu nedenle 14 Temmuz'un Windows kıyamet günü olmayacağı anlaşılıyor.
