Teknoloji dünyasında güvenlik açıkları hız kesmeden yayınlanmaya devam ediyor ve bu açıklar genellikle kimse tepki vermeden siber saldırganlar tarafından kullanılmaya başlanıyor. Son olarak Microsoft, Windows Server etki alanı denetleyicilerini (DC) etkileyen ve uzaktan kod yürütme yeteneği sağlayan, 9.8 puanla derecelendirilmiş bir güvenlik açığıyla gündemde. Bu açık, etki alanındaki kimliği doğrulanmamış herhangi bir kullanıcının bozuk bir UDP paketi göndererek sisteme tam erişim sağlamasına olanak tanıyor. Saldırganlar bu zafiyeti kullanarak etki alanı denetleyicisini yeniden başlatabilir ve hizmet kesintisine yol açabilir.
CVE-2026-41089 olarak adlandırılan bu güvenlik açığı, Netlogon hizmetini etkiliyor. Bu sorunun tek çözümü, etkilenen sistemleri güncellemek. Ancak, özellikle eski sürümler olmak üzere birçok etki alanı denetleyicisinin henüz güncellenmemiş olma ihtimali yüksek. Sistem yöneticilerinin bu kritik güncelleme için ilgili bağlantıları ve çözüm betiklerini kullanmaları öneriliyor.
Saldırganlar bu güvenlik açığını kullanarak etki alanı denetleyicilerinde sistem düzeyinde erişim sağladığında, sonuçları hayal gücünün sınırlarını zorlayabilir. Kötü niyetli kişiler, Kerberos Ticket-Granting Ticket'lar dahil olmak üzere her türlü erişim seviyesine sahip hesaplar oluşturarak, etki alanı içindeki verilere kolayca erişebilir. Genellikle büyük kurumsal ağlarda kullanılan etki alanı denetleyicilerinden sadece birinin savunmasız olması, tüm ağı tehlikeye atabilir. Siber güvenlik uzmanları, bu durumu bir solucan benzeri tehdit olarak ele almayı ve tüm etki alanı denetleyicilerini aynı anda güncellemeyi tavsiye ediyor.
Microsoft, bu güvenlik açığının kamuoyuna açıklanmadığını ve henüz aktif bir saldırıda kullanılmadığını belirtmişti. Ancak, durumun değiştiği ve açığın gerçek dünyada saldırılarda kullanılmaya başlandığına dair son raporlar mevcut. Mevcut kanıtlar arasında, LSASS hizmetini kısa bir süre içinde çökertebilen örnek kod içeren bir GitHub deposu bulunuyor.
Teknik detaylar oldukça basit. Güvenlik açığını tetikleyen ağ paketi karmaşık değil; yalnızca olması gerekenden daha büyük bir alanı içeriyor. Netlogon hizmetindeki veri serileştirme mantığı, saldırgan tarafından sağlanan veriyi sunucu ana bilgisayar adıyla birleştirerek klasik bir arabellek taşması zafiyeti oluşturuyor.
Microsoft, son zamanlarda siber güvenlik dünyasında sıkça yer alıyor. Özellikle şirketin, iddialara göre müzakerelerin başarısız olmasının ardından sıfır gün açıkları yayınlayan bir güvenlik araştırmacısına yönelik olumsuz tavrı ve hatta yasal işlem tehditleri gündemde.
