Windows’ta 6 Yıldır Kapatılmayan Kritik Açık MiniPlasma ile Yeniden Gündemde
MiniPlasma adı verilen yeni bir güvenlik açığı, Microsoft’un yıllar önce yamaladığını duyurduğu kritik bir Windows zafiyetinin aslında hiçbir zaman tam olarak kapatılmadığını ortaya koydu. Nightmare Eclipse takma adlı araştırmacının 14 Mayıs 2026’da GitHub üzerinden yayımladığı bu açık, Windows 11 ve Windows Server 2025’in en güncel sürümlerinde dahi çalışıyor.
Araştırmacının paylaştığı teknik detaylara göre sorunun merkezinde Windows Cloud Files Mini Filter Driver bileşeni yer alıyor. Bu sürücü özellikle OneDrive gibi bulut depolama servislerinin sistemle entegrasyonunda kritik rol oynuyor. Açığın temeli ise 2020’nin sonunda Google Project Zero ekibinden James Forshaw’ın Microsoft’a bildirdiği ve CVE-2020-17103 koduyla yayımlanan eski bir zafiyete dayanıyor.
Nightmare Eclipse’in aktardığına göre, Microsoft Aralık 2020’de bu açık için bir güvenlik güncellemesi yayınlamıştı. Ancak GreenPlasma araştırması sırasında kullanılan “SetPolicyVal” isimli teknik yeniden mercek altına alınınca, cldflt.sys sürücüsündeki HsmOsBlockPlaceholderAccess fonksiyonunun aynı mantık hatasını barındırmaya devam ettiği fark edildi. Araştırmacı, Google’ın yıllar önce hazırladığı kavram kanıtlama kodunun hiçbir değişiklik yapılmadan çalıştırılabildiğini ve modifiye edilmiş hâliyle SYSTEM yetkisi elde edilebildiğini bizzat test ederek doğruladı.
Microsoft’un Yaması Neden İşe Yaramadı?
Bu noktada akıllara iki ihtimal geliyor. Nightmare Eclipse’in GitHub sayfasında dile getirdiği üzere, Microsoft ya 2020’de yayımladığı yamayla sorunu kökünden çözemedi ya da sonraki güncellemelerden birinde bu düzeltme sessiz sedasız geri alındı. Her iki senaryo da kurumsal kullanıcılar açısından ciddi bir risk tablosu çiziyor.
Araştırmacı, MiniPlasma deposunda şu ifadelere yer verdi: “GreenPlasma’da kullandığım SetPolicyVal tekniğini tekrar incelediğimde, cldflt!HsmOsBlockPlaceholderAccess fonksiyonunun 6 yıl önce Microsoft’a bildirilen hatanın tıpatıp aynısına hâlâ açık olduğunu gördüm. James Forshaw’ın Google Project Zero için bulduğu bu açığın CVE-2020-17103 kapsamında kapatıldığı sanılıyordu.”
Yabancı basında yer alan haberlere göre, aynı araştırmacı daha önce de BlueHammer, RedSun, UnDefend, YellowKey ve GreenPlasma isimli açıkları peş peşe ifşa etmişti. Özellikle YellowKey ile BitLocker şifrelemesinin atlatılabilmesi, bilgi güvenliği camiasında geniş yankı uyandırmıştı. Şimdi ise MiniPlasma ile altı yıllık bir hatanın güncelliğini koruduğu gerçeğiyle yüzleşiliyor.
Tamamen Güncel Sistemlerde de Çalışıyor
En dikkat çekici detaylardan biri, açığın tamamen yamalı sistemlerde dahi istismar edilebilmesi. Nightmare Eclipse, Mayıs 2026 güvenlik güncellemelerinin yüklü olduğu Windows 11 ve Windows Server 2025 makinelerinde başarılı sonuç aldığını duyurdu. Yetki yükseltme kategorisindeki bu tür zafiyetler, özellikle fidye yazılımı operatörlerinin iştahını kabartan türden. Sisteme düşük yetkilerle sızan bir saldırgan, bu açığı kullanarak kısa sürede en üst düzey olan SYSTEM seviyesine çıkabiliyor.
Siber güvenlik şirketi Huntress’in nisan ayında yayımladığı bir raporda, Nightmare Eclipse’in daha önceki araçlarının gerçek saldırılarda kullanıldığı tespit edilmişti. BlueHammer ve RedSun’ın FortiGate VPN açıklığı üzerinden sızmış saldırganlar tarafından aktif olarak istismar edilmesi, bu araştırmacının yayımladığı kodların yalnızca akademik bir egzersiz olmadığını gösteriyor.
Microsoft cephesinden henüz yeni bir güvenlik bülteni yayımlanmış değil. Şirketin daha önceki açıklamalarında, bildirilen tüm güvenlik sorunlarını araştıracağı ve mümkün olan en kısa sürede gerekli önlemleri alacağı belirtilmişti. Ancak Nightmare Eclipse’in “haziran ayındaki Patch Tuesday için büyük bir sürpriz” sözü vermesi, önümüzdeki haftalarda yeni ifşaların gelebileceğine işaret ediyor.
Kullanıcılar Ne Yapmalı?
Şu an için MiniPlasma açığını hedef alan bir saldırı dalgası raporlanmış değil. Fakat güvenlik uzmanları, özellikle kurumsal ağ yöneticilerinin birkaç noktaya dikkat etmesi gerektiğini söylüyor. Cloud Files Mini Filter Driver ile etkileşime giren süreçlerin izlenmesi, anormal SYSTEM seviyesinde işlem oluşturma girişimlerinin takip edilmesi ve uç nokta güvenlik ürünlerinin güncel tutulması şart. Ayrıca en az yetki prensibine sıkı sıkıya bağlı kalmak, olası bir istismarın etkisini sınırlamada etkili olabilir.
Sıradan kullanıcılar içinse yapılabilecek en iyi şey, Microsoft’un önümüzdeki güncellemelerini gecikmeden yüklemek. Zira bu açığın artık kamuya açık bir PoC koduyla belgelenmiş olması, tehdit aktörlerinin onu silah hâline getirmesini hızlandıracaktır. hedefbilgitoplumu.com
