Pwn2Own 2026'da Windows 11 ve Exchange Hacklendi – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Pwn2Own 2026'da Windows 11 ve Exchange Hacklendi

Siber güvenlik araştırmacıları, Pwn2Own Berlin 2026 etkinliğinin ikinci gününde Windows 11, Microsoft Exchange ve Red Hat Enterprise Linux sistemlerinde 15 adet sıfırıncı gün (zero-day) güvenlik açığı keşfetti. Bu başarıları karşılığında toplamda 385.750 dolar para ödülü kazandılar.

Pwn2Own Berlin 2026'da araştırmacılar, Windows 11, Microsoft Exchange ve RHEL'de 15 yeni sıfırıncı gün açığı bularak 385.750$ ödül kazandı. Detaylar ve analiz.

Olay Özeti

Siber güvenlik dünyasının en prestijli etkinliklerinden biri olan Pwn2Own, 2026 yılında Berlin'de yine nefes kesen anlara sahne oldu. Etkinliğin ikinci gününde, dünyanın dört bir yanından gelen etik hacker'lar (güvenlik araştırmacıları), en yaygın kullanılan yazılımlardaki bilinmeyen güvenlik açıklarını bulmak için kıyasıya bir mücadeleye girdi. 15 Mayıs 2026 tarihinde gerçekleşen yarışmada, Microsoft'un amiral gemisi işletim sistemi Windows 11, kurumsal e-posta sunucusu Microsoft Exchange ve Red Hat Enterprise Linux gibi kritik sistemlerde toplam 15 yeni ve daha önce bilinmeyen (zero-day) güvenlik açığı başarıyla istismar edildi. Bu kritik bulguları ortaya çıkaran araştırmacılar, Trend Micro'nun Zero Day Initiative (ZDI) programı tarafından toplamda 385.750 dolarlık rekor bir ödülle onurlandırıldı.

Pwn2Own Nedir ve Neden Önemlidir?

Pwn2Own, siber güvenlik araştırmacılarını, popüler yazılım ve donanımlarda daha önce keşfedilmemiş güvenlik açıklarını bulup göstermeleri için teşvik eden bir hackleme yarışmasıdır. İlk olarak 2007'de düzenlenen bu etkinlik, adını "own" (ele geçirmek) ve "pwn" (oyun argosunda "own" kelimesinin bir türevi) kelimelerinden alır. Yarışmanın temel amacı, kötü niyetli hacker'lar bu açıkları keşfetmeden önce etik hacker'ların onları bulmasını sağlamak ve üretici firmalara bu açıkları kapatmaları için bilgi vermektir. Bu sürece "sorumlu ifşa" (responsible disclosure) denir. ZDI, bulunan her bir güvenlik açığı için araştırmacılara on binlerce dolar ödeme yapar ve ardından bu bilgiyi gizli bir şekilde ilgili yazılım şirketine (örneğin Microsoft, Red Hat) iletir. Şirketlerin bu açıkları kapatmak için genellikle 90 ila 120 gün arasında bir süresi olur. Bu sayede, milyonlarca kullanıcıyı etkileyebilecek potansiyel tehlikeler proaktif bir şekilde ortadan kaldırılmış olur.

Saldırının Teknik Boyutu ve "Sıfırıncı Gün" Zafiyeti

Bu etkinlikte öne çıkan en önemli kavram "sıfırıncı gün" (zero-day) zafiyetidir. Bir sıfırıncı gün zafiyeti, yazılım geliştiricisinin veya halkın henüz haberdar olmadığı bir güvenlik açığıdır. Bu, saldırganların bu açıktan faydalanmak için bir "exploit" (istismar kodu) geliştirmesi durumunda, yazılım şirketinin bu saldırıyı durduracak bir yama veya güncelleme yayınlamak için "sıfır günü" olduğu anlamına gelir. Pwn2Own'da gösterilen 15 zafiyetin tamamı bu kategorideydi, yani Microsoft ve Red Hat gibi dev şirketlerin bile bu güvenlik boşluklarından haberi yoktu.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Yarışmada sergilenen bazı önemli istismarlar şunlardı:

  • Windows 11: Araştırmacılar, Windows 11'in çekirdeğinde yer alan ve sistem üzerinde en yüksek yetkilere (SYSTEM) erişim sağlayan kritik bir açık buldular. Bu tür bir açık, bir saldırganın bilgisayarın tam kontrolünü ele geçirmesine, istediği programı çalıştırmasına, dosyaları silmesine veya yeni kullanıcılar oluşturmasına olanak tanır.
  • Microsoft Exchange: En endişe verici bulgulardan biri, Microsoft Exchange sunucusunda keşfedilen ve uzaktan kod yürütülmesine (Remote Code Execution - RCE) olanak tanıyan bir zafiyet zinciriydi. Bu, bir saldırganın herhangi bir kullanıcı etkileşimine veya kimlik bilgisine ihtiyaç duymadan, internet üzerinden Exchange sunucusuna sızarak tüm e-postaları okuyabileceği, değiştirebileceği veya sunucuyu tamamen ele geçirebileceği anlamına gelir.
  • Red Hat Enterprise Linux (RHEL): Kurumsal dünyada yaygın olarak kullanılan bu işletim sisteminde de yetki yükseltme (privilege escalation) zafiyeti bulundu. Bu, sisteme düşük yetkili bir kullanıcı olarak sızan bir saldırganın, bu açığı kullanarak kendini en yetkili kullanıcı (root) seviyesine çıkarmasını sağlar.

Bu zafiyetler, tek bir hatadan ziyade genellikle birkaç farklı güvenlik açığının bir araya getirilmesiyle (zincirleme exploit) istismar edilir. Bu da saldırının karmaşıklığını ve araştırmacıların teknik becerisinin ne kadar yüksek olduğunu gösterir.

Etkilenen Kullanıcılar Kimler?

Keşfedilen bu zafiyetler, potansiyel olarak çok geniş bir kullanıcı kitlesini etkilemektedir. Etkilenen ana gruplar şunlardır:

  • Bireysel Windows 11 Kullanıcıları: Dünyadaki milyonlarca kişisel bilgisayar ve dizüstü bilgisayar kullanıcısı, işletim sistemlerindeki bu kritik açıklar nedeniyle risk altındadır.
  • Kurumsal Şirketler: Microsoft Exchange sunucularını kullanan şirketler, e-posta iletişimlerinin, hassas verilerinin ve iç ağlarının güvenliği konusunda ciddi bir tehditle karşı karşıyadır. Exchange sunucusuna yapılacak bir saldırı, tüm şirketin operasyonlarını durma noktasına getirebilir.
  • Veri Merkezleri ve Sunucular: Red Hat Enterprise Linux kullanan kurumlar, özellikle sunucu altyapılarında yetkisiz erişim ve veri sızıntısı riski taşımaktadır.

Bu tür olaylar hakkında güncel bilgi sahibi olmak, siber güvenlik duruşunu güçlendirmek için kritik öneme sahiptir. Düzenli olarak Veri Sızıntısı Haberleri kaynaklarını takip etmek, hem bireysel kullanıcılar hem de kurumlar için proaktif bir savunma stratejisinin temelini oluşturur.

Ne Yapmalısınız?

Pwn2Own'da keşfedilen zafiyetler, sorumlu ifşa süreci kapsamında derhal ilgili şirketlere bildirildiği için şu anda panik yapmaya gerek yoktur. Ancak, hem bireysel kullanıcıların hem de sistem yöneticilerinin atması gereken önemli adımlar vardır:

  1. Güncellemeleri Takip Edin: Microsoft ve Red Hat, bu güvenlik açıklarını kapatmak için önümüzdeki haftalar veya aylar içinde güvenlik yamaları yayınlayacaktır. İşletim sisteminizi ve yazılımlarınızı her zaman güncel tutun. Otomatik güncellemeleri etkinleştirmek en güvenli yoldur.
  2. Güvenlik Duvarı ve Antivirüs Kullanın: Güçlü bir güvenlik duvarı ve güncel bir antivirüs yazılımı, bilinmeyen tehditlere karşı ek bir koruma katmanı sağlar.
  3. Temel Güvenlik Önlemlerini Alın: Şüpheli e-postalardaki linklere tıklamaktan veya bilinmeyen kaynaklardan dosya indirmekten kaçının. Güçlü ve benzersiz parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.
  4. Sistem Yöneticileri İçin: Yamalar yayınlanana kadar ağ izleme sistemlerini (IDS/IPS) ve güvenlik olay yönetimi (SIEM) araçlarını dikkatle takip edin. Şüpheli ağ aktivitelerini tespit etmek, olası bir saldırıyı erken aşamada durdurmanıza yardımcı olabilir.

Şirketlerin Açıklaması

Yarışmanın doğası gereği, Microsoft ve Red Hat gibi şirketler, zafiyetler kendilerine ZDI tarafından özel olarak bildirildiği için henüz kamuoyuna bir açıklama yapmamıştır. Bu şirketler, ZDI tarafından kendilerine tanınan süre içinde mühendislik ekipleriyle birlikte çalışarak bu açıkları kapatacak yamaları geliştireceklerdir. Yamalar hazır olduğunda, genellikle aylık güvenlik güncelleme bültenleri (örneğin Microsoft'un "Patch Tuesday" güncellemeleri) ile birlikte kullanıcılara duyurulacak ve dağıtılacaktır. Pwn2Own etkinliği, bu sayede siber ekosistemin daha güvenli hale gelmesine önemli bir katkı sağlamaktadır.

Kaynak

https://www.bleepingcomputer.com/news/security/pwn2own-day-two-hackers-demo-microsoft-exchange-windows-11-red-had-enterprise-linux-zero-days/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı American Lending Center Veri Sızıntısı 123 Bin Kişiyi Etkiledi Sonraki Yazı → Esse Health Veri İhlali İçin 2.53 Milyon Dolar Ödeyecek

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.