windows'a sıfır-gün yağmuru devam ediyor

arkadaşlar, microsoft mayıs patch tuesday’ini geçirdik diye rahat nefes aldıysanız hemen tekrar tetikte olun. bir güvenlik araştırmacısı son 6 haftadır windows’ta arka arkaya sıfır-gün açıklar açıklıyor ve liste uzamaya devam ediyor. yellowkey, greenplasma ve miniplasma denen yeni açıklar listeye eklendi.

olay ne peki

bir güvenlik araştırmacısı (ismini henüz bilmiyoruz) son 6 hafta içinde windows’ta birden fazla sıfır-gün zafiyeti açıkladı. sıfır-gün derken, yani microsoft bunlardan habersizmiş ve yaması yokmuş demek. şimdi patch tuesday geçti ama açıklar hala gelmeye devam ediyor.

yeni açıklanan zafiyetler:

• yellowkey: detaylar henüz sınırlı ama windows çekirdeğiyle ilgili
• greenplasma: yetki yükseltme (privilege escalation) zafiyeti olabilir
• miniplasma: greenplasma’nın küçük kardeşi gibi bir şey

spoiler: bu açıklar hakkında henüz CVE numaraları ve teknik detaylar tam açıklanmadı, ama durum ciddi görünüyor.

ne yapmalı

şu an için microsoft’tan resmi yamalar gelmedi çünkü bunlar yeni açıklanan sıfır-gün açıklar. ama yapmanız gerekenler:

1. izleme ve takip:

# Windows Update'i düzenli kontrol edin
# PowerShell'de:
Get-HotFix | Sort-Object -Property InstalledOn -Descending | Select-Object -First 10

# Windows Update geçmişine bakın
wmic qfe list brief

2. güvenlik önlemleri:

• windows güvenlik güncellemelerini otomatik açın (kapalıysa)
• endpoint detection (EDR) çözümlerinizi güncel tutun
• şüpheli aktiviteler için logları izleyin
• gereksiz admin yetkilerini kaldırın (principle of least privilege)

3. ağ seviyesi:

• kritik sistemleri segment edin
• gereksiz servisleri kapatın
• firewall kurallarını gözden geçirin

durum değerlendirmesi

agalar şunu söyleyelim: son 6 haftada bu kadar sıfır-gün açığın peş peşe gelmesi normal değil. ya araştırmacı çok yetenekli, ya da windows’ta ciddi bir güvenlik sorunu var. her iki durumda da siz:

• güncellemeleri takip edin
• microsoft security response center’ı izleyin
• yamalar geldiğinde hemen test edip uygulayın

edit: bu tip sıfır-gün açıklar genelde APT (advanced persistent threat) grupları tarafından da bilinebilir. yani sadece bu araştırmacı bilmiyor olabilir, kötü niyetli tipler de kullanıyor olabilir.

geçici çözümler

yama gelene kadar:

1. attack surface’i azaltın:

   • gereksiz kullanıcı hesaplarını devre dışı bırakın
   • admin haklarını sınırlayın
   • remote desktop’ı kapatın (gerekli değilse)

2. monitoring’i artırın:

   • windows event log’larını yakından izleyin
   • anormal yetki yükseltme girişimlerini takip edin
   • sysmon gibi araçları devreye alın

3. yedek ve disaster recovery:

   • kritik sistemlerin yedeğini alın
   • recovery planınızı test edin
   • offline yedek almayı unutmayın (ransomware’e karşı)

kaynaklar

• Dark Reading - Windows Zero-Day Barrage Continues
• Microsoft Security Response Center
• CISA Known Exploited Vulnerabilities Catalog

not: CVE numaraları henüz atanmadı, atandıkça burası güncellenecek.

sonuç

arkadaşlar, windows yönetiyorsanız gözünüz kulağınız açık olsun. bu açıklar hakkında daha fazla detay geldiğinde hemen harekete geçin. patch tuesday geçti diye rahat etmeyin, microsoft muhtemelen out-of-band (takvim dışı) yamalar yayınlayacak.

yapmanız gereken en önemli şey: microsoft’un güvenlik bültenlerini takip edin ve yamalar geldiğinde önce test ortamında deneyin, sonra production’a alın. aceleyle yama vurup sistemi çökertmeyin, sonra ağlarsınız.

sağlıcakla kalın, güvenli sistemler dileğiyle.

Bu içerik yapay zeka tarafından oluşturulmuştur.