Microsoft, 2026 yılının ilk Patch Tuesday güncellemesini yayımlayarak Windows ekosisteminde tespit edilen toplam 114 güvenlik açığını kapattığını duyurdu. Bu açıklar arasında özellikle dikkat çeken nokta, en az bir güvenlik açığının halihazırda saldırganlar tarafından aktif olarak istismar ediliyor olması. Güncelleme, hem bireysel kullanıcılar hem de kurumsal sistemler için kritik öneme sahip çok sayıda bileşeni kapsıyor.
Microsoft’un paylaştığı bilgilere göre bu 114 güvenlik açığının 8’i Kritik, 106’sı ise Önemli (Important) seviyesinde sınıflandırıldı. Açıkların türlerine bakıldığında ise 58 ayrı ayrı yetki yükseltme, 22 bilgi ifşası, 21 uzaktan kod çalıştırma ve 5 kimlik sahteciliği (spoofing) zafiyeti öne çıkıyor. Fortra tarafından derlenen verilere göre, bu güncelleme Ocak ayları özelinde son yılların en büyük üçüncü Patch Tuesday paketi olarak kayıtlara geçti.
Aktif Olarak Sömürülen Açık: CVE-2026-20805
Bu güncellemenin en kritik noktası, CVE-2026-20805 kodlu bir güvenlik açığının saldırganlar tarafından gerçek dünyada aktif şekilde kullanılıyor olması. 5.5 CVSS puanına sahip bu zafiyet, Windows’un Desktop Window Manager (DWM) bileşenini etkiliyor ve bilgi ifşası kategorisinde yer alıyor.
Microsoft’un açıklamasına göre bu açık, yerel olarak yetkilendirilmiş bir saldırganın, Desktop Window Manager üzerinden ALPC portlarına ait kullanıcı modu bellek adreslerini sızdırmasına olanak tanıyor. Bu tür bilgiler doğrudan sistemin ele geçirilmesine yol açmasa da, daha karmaşık saldırı zincirlerinin önünü açan kritik bir yapı taşı olarak değerlendiriliyor.
Microsoft Threat Intelligence Center (MTIC) ve Microsoft Security Response Center (MSRC), bu açığın tespit edilmesi ve raporlanmasında doğrudan rol oynadı. Şirket, şu ana kadar açığın kimler tarafından, ne ölçekte kullanıldığına dair ayrıntılı bilgi paylaşmadı.
DWM Neden Bu Kadar Kritik?
Desktop Window Manager, Windows işletim sisteminde ekrana çizilen her şeyden sorumlu olan temel bileşenlerden biri. Pencereler, animasyonlar, masaüstü efektleri ve grafiksel arayüzün tamamı bu bileşen üzerinden işleniyor. Bu nedenle DWM, hem yüksek ayrıcalıklara sahip hem de sistemdeki neredeyse tüm süreçlerle etkileşim halinde olan bir yapı.
Güvenlik uzmanları, DWM üzerinde bulunan zafiyetlerin özellikle tehlikeli olduğuna dikkat çekiyor. Çünkü bu tür açıklar, Address Space Layout Randomization (ASLR) gibi modern güvenlik önlemlerini devre dışı bırakmak için kullanılabiliyor. ASLR’nin zayıflatılması, saldırganların bellek tabanlı istismarları çok daha kolay ve güvenilir hale getirmesine imkan tanıyor.
DWM, Patch Tuesday’nin “Sık Ziyaretçisi”
Bu, Desktop Window Manager’ın ilk kez gündeme gelişi değil. Microsoft, Mayıs 2024’te de DWM üzerinde bulunan ve aktif olarak sömürülen bir sıfırıncı gün açığını kapatmak zorunda kalmıştı. O dönemdeki açık, yetki yükseltmeye imkan tanıyor ve QakBot gibi kötü amaçlı yazılım kampanyalarıyla ilişkilendiriliyordu.
Uzmanlar, DWM’nin 2022’den bu yana yaklaşık 20 farklı CVE ile yamalandığını ve bu bileşenin Patch Tuesday güncellemelerinde düzenli olarak yer aldığını vurguluyor.
CISA’dan Zorunlu Yama Talebi
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-20805 açığını Known Exploited Vulnerabilities (KEV) kataloğuna ekledi. Bu adım, özellikle ABD’deki federal kurumlar için büyük önem taşıyor. CISA, Federal Civilian Executive Branch (FCEB) kapsamındaki tüm kurumların 3 Şubat 2026 tarihine kadar ilgili yamayı uygulamasını zorunlu kıldı.
Bu tür bir zorunluluk, genellikle açığın yüksek risk taşıdığı ve saldırganlar tarafından aktif olarak kullanıldığı durumlarda devreye alınıyor.
Secure Boot Sertifikalarıyla İlgili Kritik Uyarı
Ocak 2026 güncellemesinde dikkat çeken bir diğer önemli başlık ise Secure Boot Certificate Expiration ile ilgili bir güvenlik özelliği atlatma açığı olan CVE-2026-21265. Bu zafiyet, saldırganların önyükleme sırasında yalnızca güvenilir firmware bileşenlerinin çalışmasını sağlayan Secure Boot mekanizmasını zayıflatmasına imkan tanıyabiliyor.
Microsoft, daha önce yaptığı bir duyuruda 2011 yılında yayımlanan bazı Secure Boot sertifikalarının Haziran 2026 itibarıyla geçerliliğini yitireceğini açıklamıştı. Bu nedenle kullanıcıların ve kurumların, 2023 tarihli yeni sertifikalara geçiş yapması gerekiyor. Aksi halde bazı sistemlerde güvenli önyükleme sorunları ve potansiyel güvenlik riskleri ortaya çıkabilir.
Eski Modem Sürücüleri Sistemden Kaldırıldı
Bu güncellemeyle birlikte Microsoft, Windows ile birlikte gelen bazı Agere Soft Modem sürücülerini tamamen kaldırdı. “agrsm64.sys” ve “agrsm.sys” dosyaları, iki yılı aşkın süredir bilinen ve SYSTEM yetkisi kazandırabilen bir ayrıcalık yükseltme açığına karşı savunmasızdı.
Benzer bir adım, Ekim 2025’te de atılmış ve başka bir Agere modem sürücüsü olan “ltmdm64.sys” sistemden çıkarılmıştı. Bu sürücü, o dönemde aktif olarak istismar edilen bilinen bir güvenlik açığıyla ilişkilendirilmişti.
VBS Enclave Açığı: Derin Sistem Tehlikesi
Güncellemede öne çıkan bir diğer kritik zafiyet ise CVE-2026-20876. Bu açık, Windows Virtualization-Based Security (VBS) Enclave bileşenini etkiliyor ve saldırganlara Virtual Trust Level 2 (VTL2) yetkisi kazandırabiliyor.
VTL2, Windows’un en korunaklı yürütme katmanlarından biri olarak kabul ediliyor. Bu seviyede elde edilen bir erişim, saldırganlara güvenlik kontrollerini aşma, kalıcı arka kapılar oluşturma ve tespitten kaçma gibi çok ileri seviye imkanlar sunabiliyor. Her ne kadar bu açığın istismarı için zaten yüksek ayrıcalıklar gerekse de, etkisi son derece yıkıcı olarak değerlendiriliyor.
Sonuç: Güncelleme Hayati Öneme Sahip
Ocak 2026 Patch Tuesday paketi, Windows kullanıcıları için rutin bir güncellemeden çok daha fazlası. Aktif olarak sömürülen açıklar, Secure Boot sertifikalarıyla ilgili yaklaşan son tarihler ve derin sistem bileşenlerini etkileyen zafiyetler göz önüne alındığında, bu güncellemenin gecikmeden uygulanması kritik önem taşıyor.
Özellikle kurumsal sistemler ve hassas veriler barındıran makineler için bu yamalar, potansiyel saldırı zincirlerini kırmanın en temel adımı olarak öne çıkıyor.
