Ulaşım
- Adres: 2342 Sk, İpekyol, İpek Ap 49A, 63250 Haliliye/Şanlıurfa
- Telefon:
0505 532 36 38 - eMail: admin@alestaweb.com
Bilgisayarınızı koruması gereken antivirüsün bizzat saldırı kapısına dönüşmesi mümkün mü? Maalesef evet. Microsoft, kendi yerleşik güvenlik aracı Microsoft Defender'da aktif olarak sömürülen iki zero-day açık (actively exploited zero-day vulnerability) olduğunu doğruladı: CVE-2026-41091 ve CVE-2026-45498. Üstelik bu açıklar ABD siber güvenlik ajansı CISA'nın "bilinen sömürülen açıklar" (Known Exploited Vulnerabilities, KEV) kataloğuna eklendi ve federal kurumlar için son yama tarihi 3 Haziran 2026 olarak belirlendi. Alesta Web olarak bu rehberde açıkların ne olduğunu, sisteminizin etkilenip etkilenmediğini nasıl kontrol edeceğinizi ve güncellemeyi adım adım anlatıyoruz.
İşin teknik detayına girmeden önce tabloya bakalım. İki açık da Microsoft Defender'ın motor (engine) ve platform katmanını etkiliyor:
| CVE Kodu | Tür / Type | CVSS | Etki |
|---|---|---|---|
| CVE-2026-41091 | Yetki yükseltme (Local Privilege Escalation) | 7.8 | SYSTEM yetkisi ele geçirme |
| CVE-2026-45498 | Hizmet engelleme (Denial-of-Service) | 4.0 | Defender'ı çalışamaz hale getirme |
Her iki açık da kamuya açıklanmadan önce gerçek saldırılarda kullanıldı (exploited in the wild as zero-day). Yani kötü niyetli kişiler bu açıkları, yaması çıkmadan haftalar önce kullanmaya başlamıştı. İşte tam da bu yüzden CISA bunları KEV listesine ekleyip federal kurumlara 3 Haziran 2026 son tarihini verdi.
Bu ikisinden asıl tehlikeli olanı bu. CVSS puanı 7.8 ve etkisi ciddi. Peki tam olarak ne oluyor?
Sorun, Microsoft Malware Protection Engine'in dosyalara erişmeden önce sembolik bağlantıları (symbolic link) hatalı çözmesinden kaynaklanıyor. Teknik adıyla buna "improper link resolution before file access" deniyor. Bunu şöyle düşünün: Defender bir dosyayı tararken, o dosyaya giden kısayolu (link) yanlış yorumluyor ve saldırganın işaret ettiği başka bir yere yönlendiriliyor.
Sıradan bir kullanıcı hesabıyla sisteme erişen bir saldırgan, bu açığı kullanarak yetkisini SYSTEM seviyesine çıkarabiliyor (gain SYSTEM privileges). SYSTEM, Windows'ta en yüksek yetki seviyesidir — yöneticiden bile üstün. Yani saldırgan o noktadan sonra makinede pratikte her şeyi yapabilir: yazılım kurar, log siler, başka hesaplara geçer.
Yetki yükseltme açıkları genelde tek başına bir "giriş kapısı" değildir. Saldırgan önce başka bir yolla (oltalama e-postası, zararlı dosya) düşük yetkiyle içeri girer, sonra CVE-2026-41091 gibi bir açıkla yetkisini yükseltir. Bu yüzden bu tür açıklar saldırı zincirinin (attack chain) kritik halkasıdır.
İkinci açık CVSS 4.0 ile daha düşük puanlı görünse de, gerçek dünyada CVE-2026-41091 ile birlikte aktif sömürüldüğü doğrulandı. Bu bir hizmet engelleme (denial-of-service) açığı.
Bu açık sayesinde saldırgan, Microsoft Defender'ın olması gerektiği gibi çalışmasını engelleyebiliyor (prevent Defender from working). Düşünün: antivirüsünüz sessizce devre dışı kalıyor, siz hiçbir uyarı görmüyorsunuz ve bu sırada zararlı yazılım rahatça çalışıyor. İki açığın birlikte kullanılması tam da bu yüzden tehlikeli — biri kapıyı açıyor, diğeri alarmı susturuyor.
CVSS puanının düşük olması "önemsiz" demek değildir. Bir açık aktif sömürülüyorsa (actively exploited), puanı ne olursa olsun öncelikli olarak yamalanmalıdır. Alesta Web olarak müşteri sunucularında ilk baktığımız şey CISA KEV listesidir.
Önce kötü haberi, sonra iyi haberi verelim. Kötü haber: açıklar gerçek ve aktif kullanılıyor. İyi haber: yama çoktan çıktı ve çoğu sistemde otomatik geliyor.
İki açık da Defender'ın güncellenmiş sürümlerinde giderildi:
CVE-2026-41091 -> Malware Protection Engine 1.1.26040.8 CVE-2026-45498 -> Defender Antimalware Platform 4.18.26040.7
Bilgisayarınızdaki mevcut sürümü kontrol etmek için PowerShell'i yönetici olarak açın ve şu komutu çalıştırın:
Get-MpComputerStatus | Select-Object AMEngineVersion, AMProductVersion, AMServiceVersion
Çıktıda AMEngineVersion değeri 1.1.26040.8 veya üstü, AMProductVersion değeri 4.18.26040.7 veya üstü ise güvendesiniz. Daha düşükse güncelleme yapmalısınız.
Microsoft Defender'ın motor ve platform güncellemeleri genelde sessiz ve otomatik gelir — Windows büyük güncellemelerinden ayrı bir kanaldan dağıtılır. Yani çoğu ev kullanıcısında yama zaten inmiş olabilir. Yine de kontrol etmek 30 saniyenizi alır.
PowerShell'i yönetici olarak açıp şu komutu çalıştırın. Bu, en güncel motoru ve platformu indirir:
Update-MpSignature
MpCmdRun aracıyla da güncelleme yapabilirsiniz:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate
Güncellemeden sonra sürümü tekrar kontrol edin:
Get-MpComputerStatus | Select-Object AMEngineVersion, AMProductVersion
WSUS, Microsoft Intune veya SCCM kullanıyorsanız, Defender platform güncellemelerinin dağıtım kanalının (update channel) güncel olduğundan emin olun. Geniş filolarda bazı makineler eski bir kanala takılı kalmış olabilir. Alesta Web ekibi olarak yönettiğimiz sunucularda merkezi güncelleme politikalarını düzenli denetliyoruz.
Yamayı uyguladınız, peki bundan sonra ne yapmalı? İşte deneyimlerimize göre en etkili ek önlemler:
Bu rehberde anlatılan tüm yöntemler yalnızca kendi sisteminizi korumak içindir (for defensive use only). Alesta Web olarak açıkların kötüye kullanımını, başkasının sistemine yetkisiz erişimi veya herhangi bir illegal aktiviteyi kesinlikle onaylamıyoruz. Her zaman yasal ve etik yolları kullanın.
Bu makaledeki bilgiler aşağıdaki güvenilir kaynaklardan derlenmiştir (information compiled from the following reliable sources):
Alesta Web olarak tüm sürüm numaralarını ve komutları doğruladık.
Windows 10/11 kullanıyorsanız ve Microsoft Defender açıksa, teknik olarak etkilenebilirsiniz. Ancak Defender'ın motor ve platform güncellemeleri otomatik geldiği için çoğu güncel sistemde yama zaten inmiştir. Yine de Get-MpComputerStatus ile sürümü kontrol etmek en garantili yoldur.
Hayır, bu bir yerel yetki yükseltme (local privilege escalation) açığıdır. Yani saldırganın önce sisteme bir şekilde düşük yetkiyle erişmiş olması gerekir. Tek başına bir "uzaktan ele geçirme" açığı değildir; saldırı zincirinin bir halkasıdır.
Defender pasif (passive) modda olsa bile bazı bileşenleri çalışmaya devam edebilir. En doğrusu yine de motor sürümünü güncel tutmaktır. Defender tamamen kaldırılmadıkça güncelleme yapmanız önerilir.
Defender imza ve motor güncellemeleri genelde yeniden başlatma gerektirmez; anında devreye girer. Yine de büyük bir platform güncellemesi geldiyse, garanti olması için bir yeniden başlatma faydalı olur.
CISA KEV (Known Exploited Vulnerabilities), gerçek dünyada aktif sömürüldüğü doğrulanmış açıkların resmi listesidir. Bir açık bu listedeyse, "teorik risk" değil "gerçek tehdit" demektir ve önceliklendirilmesi gerekir. Alesta Web olarak yama planlamasında bu listeyi temel alıyoruz.
Özetle: Microsoft Defender'daki CVE-2026-41091 ve CVE-2026-45498 açıkları gerçek ve aktif sömürülüyor, ama yama çoktan hazır. Yapmanız gereken tek şey Defender'ın güncel olduğundan emin olmak.
Hızlı Özet / Quick Summary:
Update-MpSignature ile güncellemeyi zorlayınFaydalı Linkler / Useful Links:
Sunucu ve sistem güvenliğinizde profesyonel desteğe ihtiyaç duyarsanız Alesta Web ekibi olarak yardımcı olmaktan memnuniyet duyarız.
© 2026 Alesta Web — Tüm hakları saklıdır.
