📅 10 Haz 2026 · 📰 BleepingComputer / SOCRadar / Microsoft · 🎯 Windows Server, IIS, Azure, BitLocker — Kurumsal Altyapı · TLP:WHITE
Microsoft, Haziran 2026 Patch Tuesday güncellemesiyle Windows ve geniş bir Microsoft ürün yelpazesinde toplam 206 güvenlik açığını kapattı; bunların 33'ü kritik, 55'i RCE ve 65'i ayrıcalık yükseltme (EoP) kategorisinde yer alıyor. Bu ay üç adet kamuya açıklanmış sıfır gün güvenlik açığı yamalandı; üçü de Microsoft tarafından 'Exploitation More Likely' olarak değerlendirildi. Yama hacminin büyüklüğü ve sıfır gün sayısı, Haziran 2026'yı son yılların en yüksek riskli Patch Tuesday döngülerinden biri konumuna taşıyor. Özellikle EoP ve RCE kategorilerinin birbirine çok yakın sayılarda seyretmesi, saldırganların çok aşamalı exploit zincirleri kurabileceğine işaret ediyor. CVE-2026-48567 ise CVSS 10.0 ile Patch Tuesday kapsamı dışında ayrıca yamalandı ve bu ayın en kritik açığı unvanını aldı.
Sıfır gün kategorisindeki en dikkat çekici zafiyet, Windows HTTP.sys çekirdeği düzeyindeki dinleyiciyi etkileyen CVE-2026-49160'tır (CVSS 7.5). Bu açık, HTTP/2 Bomb tekniğini kullanıyor: küçük boyutlu, özel hazırlanmış bir HTTP/2 isteği sunucunun orantısız miktarda veri işlemesine yol açarak kaynak tükenmesine ve servis dışı kalmasına neden oluyor. Uzaktan, kimlik doğrulaması gerektirmeksizin ve kullanıcı etkileşimi olmadan tetiklenebilen bu açık, HTTP.sys'in paylaşılan Windows bileşeni olması nedeniyle aynı sunucuda çalışan birden fazla servisi aynı anda etkileyebiliyor. Aynı HTTP.sys yığınında ikinci bir sorun olarak CVE-2026-47291 (CVSS 9.8) yer alıyor: kimlik doğrulaması gerektirmeyen ağ erişilebilir bir RCE açığı olup Microsoft bu ay yalnızca bu zafiyet için ek bir azaltma (mitigation) yayımladı. İki HTTP.sys açığının aynı yığında RCE ve DoS kombinasyonu sunması nedeniyle bu ikili tek bir yamalama öncelik bloğu olarak ele alınmalıdır: ``` # Geçici azaltma — HTTP/2 devre dışı bırakma (IIS üzerinde) netsh http show servicestate Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' \ -filter 'system.webServer/serverRuntime' \ -name 'http2Enabled' -value 'False' ```
EoP kategorisindeki CVE-2026-45586 (CVSS 7.8), Windows Collaborative Translation Framework (CTFMON) servisini etkiliyor. Yerel erişime sahip, düşük ayrıcalıklı kimliği doğrulanmış bir saldırgan bu açığı kullanarak SYSTEM düzeyinde ayrıcalık kazanabiliyor. BitLocker'ı etkileyen CVE-2026-50507 (CVSS 6.8) ise E:P (Proof of Concept) vektörüyle kamuya açık işlevsel exploit kodunun mevcut olduğunu ortaya koyuyor; fiziksel erişim gerektiren bu açık, özellikle kurumsal seyahat cihazları ve 'evil maid' saldırı senaryoları için ciddi veri riski oluşturuyor. Bu ayın CVSS 9.0 ve üzeri kritik listesinde Windows DHCP Client RCE (CVE-2026-44815, 9.8), Windows Kernel RCE (CVE-2026-45657, 9.8), Azure Stack Edge RCE (CVE-2026-47643, 9.8), Windows TCP/IP EoP (CVE-2026-42904, 9.6) ve Microsoft Exchange Online bilgi ifşası (CVE-2026-48579, 9.1) de yer alıyor. Etkilenen ürün yelpazesi Windows istemci/sunucu sistemlerinden Azure bulut servislerine, Nuance PowerScribe'dan Visual Studio Code'a kadar geniş bir kapsama yayılıyor.
CVSS 10.0 alan CVE-2026-48567, Azure HorizonDB Elevation of Privilege açığı olup Microsoft bu yamanın müşteri tarafında herhangi bir aksiyon gerektirmediğini belirtiyor; ancak kapsam değişikliği (scope change) içerdiğinden, başarılı bir exploit doğrudan etkilenen bileşenin ötesindeki sistemleri de tehdit edebilir. Bu nedenle Azure HorizonDB kullanan organizasyonların servis sağlığını izlemesi ve Microsoft'un ek rehberlik yayımlayıp yayımlamadığını takip etmesi kritik önem taşıyor. Kamuya açık sıfır günlerin üçü de 'Exploitation More Likely' değerlendirmesini taşıması, tehdit aktörlerinin yama çıkmadan önce bu açıklara dair yeterli bilgiye sahip olduğu anlamına geliyor; bu durum gerçek hayatta gözlemlenen aktif istismar riski açısından uyarı niteliği taşıyor.
Finans sektörü ve Orta Doğu/Türkiye özelinde değerlendirildiğinde, HTTP.sys RCE ve DoS zinciri IIS tabanlı internet bankacılığı altyapısını, DHCP Client RCE ise geniş kurumsal ağlarda istemci sistemlerini doğrudan hedef alıyor. Azure Stack Edge ve Azure HorizonDB açıkları, hibrit bulut ve veri yoğun bankacılık uygulamalarını kullanan finans kurumları için ek risk katmanı oluşturuyor. BitLocker bypass açığının PoC kodunun kamuya açık olması, çalınan veya kaybolan kurumsal cihazlar üzerinden veri sızıntısı senaryolarını somutlaştırıyor; bu durum özellikle sıkı veri yerelleştirme yükümlülükleri olan bankalar ve finans kuruluşları için BDDK ve KVKK kapsamında bildirim yükümlülüğü doğurabilecek bir risk profili ortaya koyuyor.