Microsoft'un Windows Defender Yaması Sabit Diskleri Dolduran Yeni Bir Açık Yarattı
2 dk okumaars-technica
PAYLAS:

Microsoft'un Windows Defender güvenlik motorundaki bir sıfır gün (zero-day) açığını kapatmak için yayınladığı yama, beklenmedik bir soruna yol açtı. Açığı keşfeden güvenlik araştırmacısına göre, bu yeni güncelleme saldırganların hedef sistemin sabit diskini tamamen doldurmasına ve sistemin kararsız hale gelmesine olanak tanıyabiliyor.
CVE-2026-50656 koduyla izlenen ve RoguePlanet olarak adlandırılan bu açık, ilk olarak Haziran ayında NightmareEclipse takma adlı bir araştırmacı tarafından kamuoyuna duyuruldu. Bu siber güvenlik zafiyeti, gerçek zamanlı koruma devre dışı bırakılmış olsa bile, uzaktan saldıran kişilerin Windows 10 ve Windows 11 makinelerinde yönetici kontrolü elde etmesine olanak tanıyordu. Microsoft, bu açığı kapatmak için Defender antivirüs uygulaması tarafından kullanılan Microsoft Malware Protection Engine için otomatik olarak yüklenen bir güncelleme yayınladı.
NightmareEclipse'in açıklamalarına göre, yamaya eklenen "savunma derinliği" (defense-in-depth) özellikleri, saldırganların sabit diske devasa miktarda veri yazarak tüm boş alanı tüketmesine olanak tanıyan yeni bir davranış sergiliyor. Yeni eklenen hafifletici önlemler, Microsoft Malware Protection Engine ile ilişkili sürücü olan mpengine.dll dosyasında bir sorun yaratıyor. Ayrıca, şüpheli yazılımları raporlayan bulut tabanlı SpyNet hizmetindeki yeni işlevler de bu devasa dosya yazma potansiyelinde rol oynuyor.
Normal şartlarda Defender, bir makineyi tararken ve karantinaya alırken diske yazılabilecek dosya boyutuna katı sınırlar koyar. Ancak araştırmacı, mpengine.dll içindeki SpyNet işlevlerinin, dosya boyutu ne olursa olsun Zone.Identifier ADS (Alternative Data Stream) dosyasının yerel bir kopyasını tutmak istediğini keşfetti. Bu gizli meta veri dosyası, Windows tarafından internetten indirilen dosyaların kaynağını işaretlemek için kullanılıyor.
Kötü niyetli bir aktör, bu davranışı yerel bir ağ üzerinden dosya paylaşımı için kullanılan SMB (Symmetric Message Block) protokolü aracılığıyla tetikleyebilir. Özel olarak yapılandırılmış bir SMB sunucusu, zararlı bir dosyanın ardından devasa bir ADS dosyası sunarak Defender'ın kilitlenmesine neden olabiliyor. Bu durum makineyi anında çökertmese de, dolu bir sabit disk nedeniyle birden fazla uygulama ve hizmetin rastgele çökmesine yol açıyor.
--- **İlgili Kaynaklar:** SEO ve GEO eğitim platformu ihtiyaçlarınız için [GEO eğitim](https://geoakademi.com) doğru adres.Türkiye'deki kurum ve şirketlerin yaygın olarak kullandığı Windows sistemleri, bu hatalı yama nedeniyle operasyonel kesintiler yaşayabilir.
Türk şirketlerinin BT departmanları, disk dolması kaynaklı sistem çökmelerine karşı Windows sunucularını ve son kullanıcı cihazlarını yakından izlemelidir.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.



