Giriş
Siber güvenlik araştırmacıları tarafından geliştirilen ve RoguePlanet adı verilen yeni bir zero-day exploit, Microsoft Defender'ın yarış koşulu (race condition) güvenlik açığını hedef almaktadır. Bu kritik zafiyet, Haziran 2026 dahil olmak üzere tüm en son Windows 10 ve Windows 11 güncellemeleri yüklenmiş sistemlerde bulunmakta ve saldırganlara yerel makinede SYSTEM düzeyinde ayrıcalıklar kazandırmaktadır.
Bu exploit, saldırganların sistemde tam kontrol sağlamasına olanak tanıdığı için son derece tehlikelidir. Bu makalede, RoguePlanet exploit'inin teknik detayları, saldırı vektörü ve sistemlerinizi korumak için alınması gereken önlemler detaylı olarak açıklanacaktır.
Sorun Tanımı
RoguePlanet Exploit'inin Teknik Ayrıntıları
RoguePlanet exploit'i, Microsoft Defender'ın dosya taraması sırasında oluşan yarış koşuluna dayanmaktadır. Bu zafiyet, aşağıdaki koşullar altında ortaya çıkmaktadır:
- Çoklu iş parçacığı (thread) senkronizasyon eksikliği: Defender'ın dosya tarama işlemi sırasında, aynı anda çalışan farklı iş parçacıkları arasında uygun senkronizasyon mekanizması bulunmamaktadır.
- Geçici dosya yönetimi hatası: Exploit, Defender'ın geçici dosyaları işlerken oluşan bir hata durumundan faydalanarak, saldırganın kodunun SYSTEM düzeyinde yürütülmesini sağlar.
- Sistem çağırmarı manipülasyonu: Exploit, yerel sistem çağırmarını (syscalls) manipüle ederek, saldırganın komutlarını sistem düzeyinde çalıştırmasına olanak tanır.
Bu exploit, saldırganın yerel makinede yönetici ayrıcalıkları olmadan SYSTEM düzeyinde komut çalıştırmasına olanak tanır. Bu da saldırganın sistemde kalıcı erişim elde etmesine ve diğer saldırı vektörlerini başlatmasına yol açabilir.
Etkilenen Sistemler ve Sürümler
RoguePlanet exploit'i aşağıdaki sistemleri etkilemektedir:
- Windows 10 (tüm son güncellemeler dahil)
- Windows 11 (tüm son güncellemeler dahil)
- Microsoft Defender'ın yüklü olduğu tüm sistemler
Not: Bu exploit, tamamen yamalanmış sistemlerde bile çalışabilmektedir. Bu nedenle, sadece Windows Update'leri uygulamak yeterli değildir. Ek koruma önlemleri alınması gerekmektedir.
Çözüm Adımları
1. Sisteminizi Koruma Altına Alma
-
Microsoft Defender'ı Geçici Olarak Devre Dışı Bırakma
RoguePlanet exploit'inin çalışmasını engellemek için, Defender'ı geçici olarak devre dışı bırakabilirsiniz. Ancak, bu işlem sırasında sisteminizi diğer tehditlere karşı korumasız bırakacağınızı unutmayın.
Komut:
# PowerShell komutu (Yönetici olarak çalıştırın) Set-MpPreference -DisableRealtimeMonitoring $trueUyarı: Bu komutu kullanmadan önce, sisteminizi başka bir antivirüs yazılımıyla koruduğunuzdan emin olun.
-
Güvenlik Duvarı Kurallarını Güçlendirme
Windows Güvenlik Duvarı'nı kullanarak, Defender'ın exploit'ten faydalanabileceği ağ trafiğini kısıtlayabilirsiniz.
Adımlar:
- Windows Güvenlik Duvarı'nı açın (wf.msc).
- Gelişmiş Ayarlar'a gidin.
- Gelen Kurallar bölümünde, yeni bir kural oluşturun.
- Kural tipi olarak "Özel" seçeneğini seçin ve Defender'ın çalıştığı hizmetleri engelleyin.
Komut:
# Komut satırı (Yönetici olarak çalıştırın) netsh advfirewall firewall add rule name="Block Defender Exploit" dir=in action=block program="%ProgramFiles%\Windows Defender\MsMpEng.exe" enable=yes -
Grup İlkesi ile Defender'ı Sınırlama
Windows'un Grup İlkesi düzenleyicisini kullanarak, Defender'ın davranışını kısıtlayabilirsiniz.
Adımlar:
gpedit.msckomutunu çalıştırarak Grup İlkesi Düzenleyicisi'ni açın.- Aşağıdaki yola gidin:
Bilgisayar Yapılandırması → Yönetim Şablonları → Windows Bileşenleri → Microsoft Defender Antivirus - "Gerçek Zamanlı Koruma" seçeneğini bulun ve "Devre Dışı" olarak ayarlayın.
- "Koruma ayarları" altında, "Tüm dosyaları taramayı devre dışı bırak" seçeneğini etkinleştirin.
Uyarı: Bu ayarlar, sisteminizi diğer tehditlere karşı daha savunmasız hale getirebilir. Bu nedenle, sadece geçici bir çözüm olarak kullanın.
2. Exploit'in Tespiti ve Kaldırılması
Eğer sisteminizde RoguePlanet exploit'inin kullanıldığından şüpheleniyorsanız, aşağıdaki adımları izleyerek tespit ve temizlik işlemlerini gerçekleştirebilirsiniz:
-
Sistem Günlüklerini Kontrol Etme
Windows Olay Görüntüleyicisi'ni kullanarak, şüpheli etkinlikleri arayın.
Adımlar:
eventvwr.msckomutunu çalıştırarak Olay Görüntüleyicisi'ni açın.- "Windows Günlükleri" → "Uygulama" bölümüne gidin.
- "Microsoft Defender" ile ilgili uyarıları ve hata kayıtlarını inceleyin.
- Şüpheli komut çalıştırma girişimlerini arayın (örn.
cmd.exeveyapowershell.exeçalıştırma girişimleri).
-
Microsoft Defender'ı Sıfırlama
Defender'ın yapılandırmasını sıfırlayarak, exploit'in etkisini ortadan kaldırabilirsiniz.
Komut:
# PowerShell komutu (Yönetici olarak çalıştırın) Remove-MpPreference -All Set-MpPreference -DisableRealtimeMonitoring $falseNot: Bu işlem, Defender'ın tüm yapılandırmalarını varsayılan ayarlara döndürecektir. Özel ayarlarınızı yedekleyin.
-
Sistem Geri Yükleme
Eğer exploit'in sistemde değişiklikler yaptığına inanıyorsanız, sistem geri yüklemeyi kullanarak önceki bir duruma dönebilirsiniz.
Adımlar:
rstrui.exekomutunu çalıştırarak Sistem Geri Yükleme'yi açın.- "Farklı bir geri yükleme noktası seç" seçeneğini seçin.
- Exploit'in kullanılmasından önceki bir tarihi seçin.
Uyarı: Sistem geri yükleme, son yüklenen uygulamaları ve güncellemeleri de geri alabilir. Bu nedenle, sadece kritik durumlarda kullanın.
Korunma Önlemleri
1. Kalıcı Koruma Stratejileri
RoguePlanet exploit'inden korunmak için aşağıdaki kalıcı koruma önlemlerini uygulayın:
-
Microsoft Defender'ın Güncel Olmasını Sağlayın
Defender'ın en son tehdit tanımlarına sahip olduğundan emin olun. Güncellemeleri otomatik olarak indirip yükleyecek şekilde yapılandırın.
Komut:
# PowerShell komutu (Yönetici olarak çalıştırın) Set-MpPreference -DisableSignatureUpdateOnStart $false Set-MpPreference -SignatureUpdateInterval 1 -
Ek Antivirüs Yazılımları Kullanın
Defender'ın yanı sıra, üçüncü taraf bir antivirüs yazılımı kullanarak çok katmanlı bir koruma sağlayın. Örneğin, Malwarebytes veya Bitdefender gibi yazılımlar exploit'lerin tespit edilmesine yardımcı olabilir.
-
Uygulama Beyaz Listeleme
Windows'un uygulama denetimi özelliklerini kullanarak, sadece güvenilir uygulamaların çalışmasına izin verin.
Adımlar:
gpedit.msckomutunu çalıştırarak Grup İlkesi Düzenleyicisi'ni açın.- Aşağıdaki yola gidin:
Bilgisayar Yapılandırması → Yönetim Şablonları → Windows Bileşenleri → Uygulama Denetimi - "Uygulama Denetimi Kuralları" seçeneğini etkinleştirin ve güvenilir uygulamaları tanımlayın.
2. Ağ ve Erişim Kontrolleri
Sistemlerinizi RoguePlanet exploit'inden korumak için aşağıdaki ağ ve erişim kontrollerini uygulayın:
-
Kullanıcı Hesap Kontrolünü (UAC) Etkinleştirme
UAC, kullanıcıların SYSTEM düzeyinde komut çalıştırmasını engelleyerek, exploit'in etkisini azaltır.
Adımlar:
- Denetim Masası'nı açın ve "Kullanıcı Hesapları" seçeneğine gidin.
- "Kullanıcı Hesap Kontrol Ayarlarını Değiştir" seçeneğini seçin.
- Kaydırıcıyı "Her zaman bildir" konumuna getirin.
-
Uzak Masaüstü Protokolü (RDP) Kısıtlamaları
RDP'yi sadece güvenilir IP adreslerinden erişilebilir hale getirin ve güçlü parola ilkeleri uygulayın.
Komut:
# Komut satırı (Yönetici olarak çalıştırın) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f
Sonuç
RoguePlanet exploit'i, Microsoft Defender'ın yarış koşulu güvenlik açığını hedef alarak, saldırganlara SYSTEM düzeyinde ayrıcalıklar kazandıran ciddi bir tehdittir. Bu exploit, tamamen yamalanmış sistemlerde bile çalışabildiği için, sadece Windows Update'leri uygulamak yeterli değildir. Sistemlerinizi korumak için, yukarıda belirtilen adımları izleyerek hem geçici hem de kalıcı koruma önlemlerini uygulamanız gerekmektedir.
Unutmayın, siber güvenlikte çok katmanlı koruma en etkili stratejidir. Defender'ın yanı sıra, üçüncü taraf antivirüs yazılımları, ağ güvenlik duvarları ve uygulama denetimi gibi ek koruma katmanları kullanarak sistemlerinizi daha güvenli hale getirebilirsiniz.
Önemli Not: Bu exploit, henüz resmi bir yama yayınlanmamış bir zero-day açığıdır. Microsoft'un bu açığı kapatması için zaman gerekebilir. Bu nedenle, sistemlerinizi korumak için yukarıdaki önlemleri derhal uygulamaya başlayın.
