Microsoft Defender RoguePlanet Zero-Day Açığı için Yama Üzerinde Çalışıyor

Giriş

Microsoft, Defender güvenlik yazılımında tespit edilen ve son bir hafta içinde RoguePlanet olarak adlandırılan bir zero-day açıktan kaynaklanan güvenlik riskini gidermek için aktif olarak çalışmaktadır. Bu açıktan yararlanılması durumunda, saldırganlar sistemlere yetkisiz erişim sağlayabilir veya kötü amaçlı kod çalıştırabilir. Microsoft'un resmi açıklamasına göre, yamanın yakın zamanda yayınlanması planlanmaktadır.

Sorun Tanımı

RoguePlanet adı verilen bu zero-day açığı, Microsoft Defender'ın antivirus motorunda yer alan bir bellek bozulması (memory corruption) sorunundan kaynaklanmaktadır. Açık, saldırganların sistemde yüksek yetki (privilege escalation) elde etmelerine veya uzaktan kod yürütme (RCE) gerçekleştirmelerine olanak tanımaktadır. Aşağıdaki senaryolarda risk artmaktadır:

• Kullanıcının yerel olarak sisteme erişimi varsa ve Defender'ın otomatik koruma özellikleri devre dışı bırakılmışsa.
• Saldırganın, sistemde zaten sınırlı yetkilerle çalışan bir kullanıcı hesabına sahip olması durumunda.

Etkilenen Sistemler

Aşağıdaki Microsoft Defender sürümleri ve işletim sistemleri etkilendiği bildirilmiştir:

• Microsoft Defender Antivirus (tüm desteklenen sürümler)
• Microsoft Defender for Endpoint
• Windows 10 (tüm desteklenen sürümler)
• Windows 11 (tüm desteklenen sürümler)
• Windows Server 2019 ve üzeri

Güvenlik Açığının Etkileri

Uyarı: Bu açıktan yararlanılması durumunda, saldırganlar sistemde tam kontrol elde edebilir ve aşağıdaki eylemleri gerçekleştirebilir:

• Kritik sistem dosyalarını değiştirmek veya silmek.
• Diğer kötü amaçlı yazılımları yüklemek.
• Kullanıcı verilerini çalmak (örneğin, kimlik bilgileri, finansal bilgiler).
• Sistemi bir botnet'e dahil etmek.

Geçici Çözümler ve Önlemler

Microsoft tarafından resmi bir yama yayınlanana kadar, aşağıdaki geçici çözümler uygulanabilir:

1. Defender'ın Geri Dönüşüm Moduna Alınması

Defender'ın otomatik koruma özelliklerini devre dışı bırakmak yerine, gerçek zamanlı korumayı geçici olarak kapatmak ve manuel taramalarla yetinmek önerilir. Bu işlem, sisteminizi saldırılara karşı daha savunmasız hale getirebilir, bu nedenle yalnızca acil durumlarda uygulanmalıdır.

1. Windows Güvenlik Ayarlarını Açın:

   Windows Tuşu + S → "Windows Güvenlik" → Aç

2. Virüs ve tehdit koruması bölümüne gidin.

3. Gerçek zamanlı koruma seçeneğini KAPALI konuma getirin.

4. Sisteminizi manuel olarak tarayın:

   Windows Güvenlik → Virüs ve tehdit koruması → Tarama seçenekleri → Tam tarama → Şimdi tara

2. Ağ Trafiğinin Kısıtlanması

Saldırganların sisteminize erişimini sınırlamak için ağ trafiğini kısıtlayabilirsiniz. Bu, özellikle kurumsal ortamlarda önerilir.

1. Windows Defender Firewall'ı yapılandırın:

   Windows Tuşu + R → "wf.msc" → Enter → Gelişmiş ayarlar → Giden kurallar → Yeni kural oluştur

2. Tüm gelen bağlantıları engelle seçeneğini etkinleştirin.

3. Aşağıdaki komutla güvenlik duvarını etkinleştirin:

   netsh advfirewall set allprofiles state on

3. Güvenlik Duvarı Kurallarının Güncellenmesi

Eğer kurumsal bir ağdaysanız, Defender'ın ağ trafiğini izlemesini ve engellemesini sağlamak için güvenlik duvarı kurallarını güncelleyin.

1. Microsoft Defender for Endpoint portalına giriş yapın.

2. Cihazlar bölümüne gidin ve etkilenen cihazları seçin.

3. Güvenlik duvarı kurallarını aşağıdaki gibi yapılandırın:

   # Defender'ın ağ trafiğini engellemek için PowerShell komutu
   Set-MpPreference -DisableIntrusionPreventionSystem $true

Resmi Yama Uygulama Adımları

Microsoft'un yayınlayacağı resmi yamayı uygulamadan önce, aşağıdaki hazırlık adımlarını gerçekleştirin:

1. Sistem Yedeklemesi

Önemli: Herhangi bir sistem değişikliği yapmadan önce, tüm verilerinizi yedekleyin. Bu, olası bir hata durumunda verilerinizi kurtarmanızı sağlayacaktır.

1. Windows Yedekleme ve Geri Yükleme'yi açın:

   Windows Tuşu + R → "sdclt" → Enter

2. Sistem görüntüsü oluştur seçeneğini seçin ve yedeklemeyi bir harici sürücüye kaydedin.

2. Windows Update Aracılığıyla Yamanın Yüklenmesi

Microsoft, yamayı Windows Update aracılığıyla yayınlayacaktır. Aşağıdaki adımları izleyerek yamayı yükleyin:

1. Windows Update ayarlarını açın:

   Windows Tuşu + I → Güncelleştirme ve Güvenlik → Windows Update

2. Güncellemeleri denetle seçeneğine tıklayın.

3. Çıkan listedeki "Defender Güvenlik Açığı Düzeltmesi (RoguePlanet)" başlıklı güncellemeyi bulun ve yükleyin.

4. Yükleme tamamlandıktan sonra, sisteminizi yeniden başlatın.

3. Yamanın Doğrulanması

Yamanın başarıyla uygulandığını doğrulamak için aşağıdaki adımları izleyin:

1. Defender'ı açın ve sürümünü kontrol edin:

   Windows Tuşu + R → "ms-settings:windowsdefender" → Hakkında → Antivirus ve tehdit koruma

2. Yamayı doğrulamak için PowerShell kullanın:

   Get-MpComputerStatus | Select-Object AntivirusSignatureVersion, AntivirusSignatureLastUpdated

3. Çıkan çıktının en son yamayı içerdiğinden emin olun.

Sık Karşılaşılan Sorunlar ve Çözümleri

1. Yama Yüklenemiyor

Nedeni: Sistemde başka bir güvenlik yazılımı (örneğin, üçüncü taraf antivirüs) Defender ile çakışabilir.

Çözüm: Üçüncü taraf antivirüs yazılımını geçici olarak devre dışı bırakın ve tekrar deneyin.

2. Sistem Performansı Düşüyor

Nedeni: Yama uygulandıktan sonra Defender'ın sistem kaynaklarını fazla kullanması.

Çözüm: Defender'ın performans ayarlarını optimize edin:

# Performans ayarlarını ayarlamak için PowerShell komutu
Set-MpPreference -DisableBehaviorMonitoring $false
Set-MpPreference -DisableOnAccessProtection $false

İpuçları ve En İyi Uygulamalar

Öneri: RoguePlanet açığına karşı koruma sağlamak için aşağıdaki en iyi uygulamaları uygulayın:

• Otomatik güncellemeleri etkinleştirin: Windows Update ayarlarından otomatik güncellemeleri açın.
• Güvenlik duvarını etkinleştirin: Windows Defender Firewall'ı her zaman açık tutun.
• Güvenlik açığı taramaları yapın: Microsoft'un yayınladığı güvenlik açığı taramalarını düzenli olarak çalıştırın.
• Kullanıcı eğitimi: Çalışanlarınıza phishing saldırılarına karşı eğitim verin.
• Yedekleme stratejisi: Kritik verilerinizi düzenli olarak yedekleyin ve 3-2-1 kuralını uygulayın (3 kopya, 2 farklı ortam, 1 offsite).

Sonuç

Microsoft'un RoguePlanet zero-day açığı için yayınlayacağı resmi yama, Defender kullanıcılarının sistemlerini koruması açısından kritik öneme sahiptir. Bu makalede sunulan geçici çözümler ve adım adım yönergeler, yama yayınlanana kadar sistemlerinizi güvende tutmanıza yardımcı olacaktır. Resmi yamanın yayınlanmasının ardından, öncelikli olarak uygulanması ve sistemlerinizin yeniden başlatılması önerilir. Unutmayın, siber güvenlik sürekli bir süreçtir ve yalnızca yamalarla değil, aynı zamanda güvenlik farkındalığı ve en iyi uygulamalar ile de sağlanır.