Microsoft’un Windows güvenliği için attığı adımlar, bu kez beklenmedik bir karşılık buldu. Şirket, kısa süre önce kritik bir açığı kapatmışken, aynı güvenlik araştırmacısı saatler içinde yeni bir sıfır gün (zero-day) açığı yayınladı.
Üstelik bu sadece teknik bir gelişme değil. Olayın arkasında ciddi bir kişisel gerilim ve açık tehditler de var.
Aynı hacker’dan ikinci darbe
Kendini GitHub’da “Nightmare-Eclipse” olarak tanıtan bir araştırmacı, daha önce Windows Defender’da çalışan bir exploit yayınlayarak gündeme gelmişti. Şimdi ise benzer bir yöntemle çalışan ikinci bir araç paylaştı.
Yeni exploit’in adı: “RedSun”
Bu araç, başarılı şekilde çalıştırıldığında, normal bir kullanıcıya SYSTEM seviyesinde yetki kazandırabiliyor. Yani bir bilgisayarda ulaşılabilecek en yüksek kontrol seviyelerinden biri.
Kısacası, bu açık kullanıldığında saldırganlar:
- Yönetici yetkisi elde edebiliyor
- Sistem dosyalarına erişebiliyor
- Ağ içinde daha geniş hareket alanı kazanabiliyor
Açığın çalışma mantığı oldukça ilginç
Hacker’ın paylaştığı bilgilere göre exploit, yine Windows Defender içindeki bir mantık hatasını kullanıyor.
İddia edilen senaryoya göre Defender, zararlı olduğunu tespit ettiği bir dosyada belirli bir “cloud etiketi” gördüğünde, bu dosyayı silmek yerine orijinal konumuna yeniden yazıyor.
Normalde bir antivirüsün yapması gereken şey zararlı dosyayı kaldırmak. Ama burada sistem tam tersini yapıyor.
İşte exploit tam olarak bu davranışı kullanıyor:
- Zararlı dosya tespit ediliyor
- Defender dosyayı yeniden yazıyor
- Bu süreçte sistem dosyaları üzerine yazım yapılabiliyor
- Sonuç: Yetki yükseltme (privilege escalation)
Hacker da bu durumu alaycı bir şekilde eleştiriyor ve açıkça “antivirüsler zararlı dosyaları silmeli” diyerek Microsoft’a gönderme yapıyor.
Microsoft açığı kapatmıştı ama yetmedi
Aslında Microsoft kısa süre önce benzer bir açığı kapatmıştı. Bu açık, CVE-2026-33825 koduyla takip ediliyordu ve 7.8/10 seviyesinde ciddi bir risk olarak değerlendirilmişti.
Şirket, bu açığı “Patch Tuesday” kapsamında yayınladığı güncelleme ile düzeltmişti.
Ancak görünen o ki:
Sorun tek bir açıkla sınırlı değil.
Yeni exploit, farklı bir yöntemle aynı sonucu elde edebiliyor. Bu da Windows Defender tarafında daha derin bir güvenlik sorunu olabileceğini düşündürüyor.
Hacker’dan açık tehdit: “Daha kötüsü gelecek”
Olayın en dikkat çekici kısmı ise teknik detaylardan çok, hacker’ın yaptığı açıklamalar.
Nightmare-Eclipse, yayınladığı blog yazısında Microsoft’a karşı oldukça sert ifadeler kullanıyor. Hatta gelecekte daha tehlikeli açıklar yayınlayabileceğini açıkça söylüyor.
Özellikle şu mesaj dikkat çekiyor:
“Remote Code Execution (RCE) açıkları da paylaşacağım.”
Bu oldukça kritik bir tehdit. Çünkü RCE açıkları, saldırganların uzaktan sistem kontrolü ele geçirmesine olanak tanıyor. Yani risk seviyesi çok daha yüksek.
Kişisel bir mesele mıi?
Hacker, bu hareketlerini teknik bir keşiften çok kişisel bir tepki olarak konumlandırıyor. İddialarına göre Microsoft ile daha önce bir iletişimi olmuş ve bu süreç kötü sonuçlanmış.
Kendi ifadelerine göre:
- Microsoft söz verdiği desteği sağlamadı
- Araştırmacıyı zor durumda bıraktı
- Hatta hayatını olumsuz etkiledi
Bu yüzden yaptığı paylaşımları bir tür “karşılık” olarak görüyor.
Açıkçası bu durum, güvenlik dünyasında sıkça tartışılan bir konuyu tekrar gündeme getiriyor:
Araştırmacı ile şirket ilişkisi nasıl yönetilmeli?
Güvenlik topluluğu ikiye bölünmüş durumda
GitHub ve sosyal medya platformlarında bu yeni exploit hızla yayılmaya başladı. Ancak tepkiler ikiye bölünmüş durumda.
Bir kesim:
- Açığın paylaşılmasını sorumsuzluk olarak görüyor
Diğer kesim ise:
- Şirketlerin araştırmacılara daha iyi davranması gerektiğini savunuyor
Ama herkesin ortak noktası şu:
Bu tür açıkların herkese açık şekilde paylaşılması ciddi risk oluşturuyor.
Küçük bir açık, büyük bir krize dönüşebilir
Bu olay sadece bir güvenlik açığı hikâyesi değil; aynı zamanda teknoloji dünyasında iletişim eksikliği, güven ilişkisi ve kurumsal sorumluluk gibi konuların ne kadar kritik olduğunu açıkça ortaya koyuyor.
Microsoft tarafı, klasik bir açıklama ile kullanıcı güvenliğini önceliklendirdiklerini ve açıkları hızlıca kapattıklarını belirtiyor. Ancak bu tarz olaylar, yalnızca teknik çözümlerle ilerlemenin yeterli olmadığını, insan faktörünün ve şeffaf iletişimin de en az güvenlik yamaları kadar önemli olduğunu gösteriyor.
Çünkü:
Açıklar kapatılabilir, sistemler güncellenebilir ve tehditler geçici olarak kontrol altına alınabilir.
Ama güven kaybı, özellikle geliştirici ve araştırmacı topluluğu ile yaşandığında, uzun vadede çok daha derin ve kalıcı etkiler bırakabilir, telafisi ise oldukça zor olabilir.
Önümüzdeki günlerde bu hacker’ın yeni açıklar paylaşıp paylaşmayacağı merak konusu. Ama net olan bir şey var:
Windows güvenliği şu anda ciddi bir sınavdan geçiyor.
