📅 20–21 May 2026 · 📰 Help Net Security / CISA / Microsoft · 🎯 Tüm Windows Uç Noktaları / Microsoft Defender Kullanan Kurumlar · TLP:WHITE
CISA, 20 Mayıs 2026 tarihinde Microsoft Malware Protection Engine'i etkileyen iki kritik zafiyeti — CVE-2026-41091 (CVSS 7.8, LPE) ve CVE-2026-45498 (CVSS 4.0, DoS) — Known Exploited Vulnerabilities (KEV) kataloğuna ekledi. Microsoft da her iki zafiyetin aktif olarak vahşi ortamda istismar edildiğini teyit etti. CVE-2026-41091, yerel bir saldırganın SYSTEM düzeyinde ayrıcalık kazanmasına olanak tanırken CVE-2026-45498, Microsoft Defender'ı devre dışı bırakarak savunma mekanizmalarını körleştirmek amacıyla saldırı zincirlerinde birlikte kullanılıyor. Bu iki zafiyetin koordineli biçimde istismar edilmesi, özellikle uç nokta koruma katmanını hedef alan gelişmiş saldırı senaryolarının işareti olarak değerlendiriliyor.
CVE-2026-41091'in teknik kökü, Microsoft Malware Protection Engine'in dosyalara erişmeden önce sembolik bağlantıları (symlink) hatalı çözümlemesinden kaynaklanıyor; bu sınıf zafiyetler 'link following' olarak adlandırılıyor. Saldırı akışı tipik olarak şu şekilde ilerliyor: düşük yetkili yerel kullanıcı, Engine'in tarayacağı bir dizinde kötü amaçlı bir sembolik bağlantı oluşturuyor; Engine bu bağlantıyı SYSTEM bağlamında çözümleyerek hedef dosyayı işliyor; böylece saldırgan ayrıcalıklı bir dosya işlemi zinciri tetikleyerek SYSTEM yetkisi kazanıyor. CVE-2026-45498 ise Microsoft Defender Antimalware Platform'u (kullanıcı modu ikilileri ve çekirdek modu sürücüleri içeren bileşen topluluğu) DoS durumuna düşürerek bu ayrıcalık yükseltme sürecinde Defender'ın müdahalesini engelliyor. Aynı saldırı zincirinde üçüncü bir RCE zafiyeti olan CVE-2026-45584 de bulunuyor; bu üç zafiyet Microsoft Malware Protection Engine v1.26030.3008 sürümünü etkiliyor ve v1.1.26040.8 ile yamalandı. CVE-2026-45498 ise Antimalware Platform v4.18.26040.7 güncellemesiyle giderildi.
Etkilenen ürün kapsamı yalnızca Microsoft Defender ile sınırlı değil; Microsoft Malware Protection Engine ve Antimalware Platform bileşenlerini kullanan Microsoft System Center Endpoint Protection ile Microsoft Security Essentials da bu zafiyetlerden etkileniyor. Security Essentials, eski ve desteklenmeyen Windows sürümlerinde hâlâ çalışıyor olabileceğinden bu sistemlerin yamanma olasılığı daha düşük ve risk maruziyeti daha yüksek. ABD federal sivil yürütme organı (FCEB) kurumları için CISA'nın belirlediği zorunlu yama son tarihi 3 Haziran 2026; bu tarihe kadar yamayı uygulamamaları durumunda ürünü tamamen devre dışı bırakmaları gerekiyor.
Saldırı zincirini ortaya çıkaran arka plan, 'Nightmare Eclipse' takma adını kullanan hoşnutsuz bir güvenlik araştırmacısının 3 ve 15 Nisan 2026 tarihlerinde BlueHammer (CVE-2026-33825, LPE), RedSun (LPE) ve UnDefend (DoS) adlı üç kavram kanıtı (PoC) exploit'i kamuoyuna yayımlamasıyla başladı. Huntress olay müdahale ekipleri, bir tehdit aktörünün bu üç PoC'yi birlikte kullandığını gözlemledi. BlueHammer Nisan ayı sonunda KEV'e alınmıştı; şimdi CVE-2026-41091 ve CVE-2026-45498 de bu kataloga eklendi. Nightmare Eclipse'in aynı zamanda BitLocker bypass zafiyeti CVE-2026-45585 (YellowKey) için de PoC yayımladığı biliniyor; Microsoft bu zafiyet için 19 Mayıs 2026'da hafifletme tavsiyesi paylaştı. Bu örüntü, tek bir tehdit aktörünün Microsoft güvenlik katmanlarını sistematik biçimde hedef aldığına işaret ediyor.
Finans sektörü açısından değerlendirildiğinde, uç nokta güvenlik ajanlarını devre dışı bırakıp ardından SYSTEM yetkisi kazanmaya dayanan bu saldırı zinciri; bankacılık uygulamaları, HSM erişim katmanları ve PCI-DSS kapsamındaki iş istasyonları için özellikle yüksek risk taşıyor. Türkiye ve Orta Doğu'daki finans kurumlarında kurumsal endpoint'lerin önemli bir bölümünde Microsoft Defender veya System Center Endpoint Protection kullandığı göz önüne alındığında, otomatik güncellemenin doğrulanmamış olduğu ortamlarda (air-gapped sistemler, WSUS bağımlısı şubeler) manuel kontrol zorunlu hâle geliyor.