Chaotic Eclipse takma adlı bir güvenlik araştırmacısı, Microsoft Defender’ı hedefleyen “RedSun” adlı yeni bir sıfır gün açığını ve buna ait çalışan bir PoC kodunu paylaştı. Araştırmacı, Microsoft’un sürece yaklaşımını eleştirirken açığın Defender korumalarını atlatıp yerel kullanıcı haklarını SYSTEM seviyesine yükseltebildiğini söylüyor. Paylaşılan bilgilere göre RedSun şu an için yamalanmış değil.
RedSun’un teknik detayları tamamen açıklanmış değil; ancak PoC, Defender’ın belirli dosya işleme/geri yükleme mantığını kötüye kullanarak sistem dosyaları üzerine yazma ve ayrıcalık yükseltme zinciri kuruyor. Bu da savunma ürününün bizzat saldırı zincirinin bir parçasına dönmesine yol açabiliyor.
Arka plan ve durum
Nisan ayı başında aynı araştırmacı “BlueHammer” adlı başka bir Defender açığını ortaya çıkarmış, Microsoft bu açığı CVE-2026-33825 olarak takip edip 14 Nisan 2026’da Defender Antimalware Platform güncellemesiyle kapatmıştı. RedSun ise bu yamanın hemen ardından gündeme geldi ve şu an için Microsoft tarafından giderilmemiş görünüyor.
Topluluk paylaşımlarında RedSun’un aktif olarak denenip kötüye kullanılmaya başlandığı yönünde uyarılar da var; PoC’nin herkese açık olması riski artırıyor. Bu iddialar henüz tümüyle doğrulanmış olmasa da güvenlik ekiplerinin temkinli davranması, yeni saldırı göstergelerini izlemeye alması ve ilgili kısıtlama/sertleştirme ayarlarını (ör. Tamper Protection) etkin tuttuğundan emin olması öneriliyor.
Özetle: BlueHammer yamalandı, RedSun ise 17 Nisan 2026 itibarıyla PoC hâliyle dolaşımda ve yamalanmamış görünüyor. Kurumların Defender platformunu güncel tutması, ayrıcalık yükseltme girişimlerine yönelik günlükleri sıkı izlemesi ve Microsoft’tan gelecek olası düzeltmeleri beklemesi gerekiyor.
Kaynak: www.techspot.com