CISA: Windows BlueHammer Açığı Ransomware Çeteleri Tarafından İstismar Ediliyor

Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Microsoft Defender'daki yüksek önem dereceli bir açığın ransomware çeteleri tarafından istismar edilmeye başlandığını doğruladı. BlueHammer olarak adlandırılan bu güvenlik açığı (CVE-2026-33825), Nisan ayı başlarında 'Nightmare Eclipse' takma adıyla bilinen bir güvenlik araştırmacısı tarafından, Microsoft Güvenlik Yanıt Merkezi'nin (MSRC) açıklama sürecine karşı bir protesto olarak, kanıt niteliğinde bir exploit kodu ile birlikte sızdırılmıştı.

Microsoft'un güvenlik uyarısına göre, Defender'daki yetersiz erişim kontrolü, yetkili bir saldırganın yerel olarak ayrıcalıklarını artırmasına olanak tanıyor. Tharros'tan baş güvenlik analisti Will Dormann, BleepingComputer'a Nisan ayında yaptığı açıklamada, bu açığın istismar edilmesinin kolay olmadığını ancak yerel saldırganlara Güvenlik Hesap Yöneticisi (SAM) veritabanına erişim sağladığını belirtti. Bu veritabanı, yerel hesapların şifre karma değerlerini içeriyor.

Bu erişim ile saldırganlar, SYSTEM ayrıcalıklarına yükselebilir ve hedef sistem üzerinde tam kontrol elde edebilir. Dormann, "O noktada, [saldırganlar] temelde sistemi ele geçirmiş oluyor ve SYSTEM ayrıcalıkları ile bir shell başlatabiliyorlar" dedi.

Microsoft, açığı Nisan 2026 Patch Tuesday güncellemelerinin bir parçası olarak 14 Nisan'da yamaladı. Ancak birkaç gün sonra Huntress Labs güvenlik araştırmacıları, tehdit aktörlerinin açığı sıfır gün olarak istismar ettiğini ve 'eller-klavye tehdit aktörü faaliyetleri' gösteren saldırılar gerçekleştirdiğini ortaya çıkardı.

Son birkaç ay içinde, Nightmare Eclipse, RoguePlanet, RedSun, GreenPlasma, MiniPlasma, YellowKey ve UnDefend gibi diğer Windows sıfır gün açıklarını da ifşa etti. Bu açıkların bazıları Microsoft Defender'ı etkilerken, diğerleri BitLocker ve Windows bileşenlerini hedef alıyor.

Microsoft, GreenPlasma, MiniPlasma ve YellowKey güvenlik açıklarını, Haziran 2026 Patch Tuesday güncellemelerinin bir parçası olarak üç hafta önce yamamıştı. CISA, BlueHammer açığını 22 Nisan'da Bilinen İstismar Edilen Açıklar (KEV) Kataloğu'na ekleyerek, Federal Sivil Yürütme Dairesi (FCEB) ajanslarına CVE-2026-33825 saldırılarına karşı Windows cihazlarını yamalamaları için iki hafta süre tanıdı ve bu sürenin son tarihi 7 Mayıs olarak belirlendi.

CISA, "Bu tür bir açık, kötü niyetli siber aktörler için sıkça kullanılan bir saldırı vektörüdür ve federal işletmeler için önemli riskler taşımaktadır" uyarısında bulundu. Microsoft, bu güvenlik açığını henüz saldırılarda istismar edildiği şeklinde etiketlememiş olsa da, CISA, KEV Kataloğu'na yaptığı güncellemeyle, ransomware kampanyalarında istismar edildiğini bildirdi.

Son yıllarda, CISA, saldırılarda istismar edilen sekiz Microsoft Defender açığını işaretledi ve bunlardan ikisi de ransomware çeteleri tarafından hedef alındı. Güvenlik ekipleri, başarılı saldırıların %54'ünü kaydederken, yalnızca %14'üne uyarı veriyor. Geri kalanları ise çevrenizde görünmeden geçiyor.

Picus'un beyaz kitabı, ihlal ve saldırı simülasyonlarının SIEM ve EDR kurallarınızı nasıl test ettiğini gösteriyor, böylece tehditlerin tespit edilmeden geçmesini engelleyebilirsiniz.