Microsoft, GitHub hesabını engelledikten sonra Windows zero-day ifşasını sert biçimde eleştirdi
(thehackernews.com)Microsoft, yamalanmamış zero-day açıklarını kamuya izinsiz açıklayan güvenlik araştırmacısına sert tepki gösterip GitHub hesabını engelleyince, söz konusu araştırmacının ek ifşalar yapacağını duyurmasıyla gerilim tırmanıyor.
Tam çeviri
Microsoft, Coordinated Vulnerability Disclosure (CVD) sürecini güçlü biçimde desteklediğini belirterek, güvenlik araştırma topluluğunu bulgularını paylaşmaya ve açıklar kamuya açıklanmadan önce etkilenen tedarikçilere bunları net biçimde anlayıp çözme fırsatı vermeye çağırdı.
Bu olay, 'Chaotic Eclipse' (diğer adıyla Nightmare-Eclipse) adlı araştırmacının geçen ay boyunca Microsoft'un zafiyet ele alma sürecindeki yetersizlikleri gerekçe göstererek Defender ve BitLocker dahil çeşitli Windows bileşenlerini etkileyen birden fazla zero-day açığın ayrıntılarını kamuya açıklamasıyla başladı.
Microsoft, "Son birkaç hafta içinde birden fazla zero-day açığı kamuya açıklandı" diyerek, "Bu açıkların ayrıntıları açıklanmadan önce Microsoft ile paylaşılmadı ve bu durum müşterilerimizi gereksiz riske maruz bıraktı" ifadelerini kullandı. Şirket ayrıca, "İzinsiz açıklamanın yarattığı riske yanıt vermek için güvenlik ekiplerimiz etkiyi anlamak, müşterileri korumak ve güvenlik güncellemeleri geliştirmek amacıyla 7/24 çalışıyor" dedi.
Açıklanan açıklar toplam altı adet: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma ve MiniPlasma. Bunlar arasında BlueHammer, RedSun ve Undefend dahil üç açık {p:50} hâlihazırda gerçek ortamlarda kötü niyetli saldırılarda aktif biçimde istismar ediliyor.
Microsoft, bu tür koordine edilmemiş açık ifşalarına "kararlılıkla" karşı çıktığını belirterek, yamalanmamış açıklara ait proof-of-concept (PoC) kodunun kötü niyetli aktörlerin eline geçmesi hâlinde "gerçek dünyada ciddi sonuçlara" yol açabileceği uyarısında bulundu. Ayrıca, "Güvenlik topluluğunun herkesi korumak için birlikte çalışabilmesi adına farklı bakış açılarını memnuniyetle karşılıyoruz. Her konuda her zaman aynı fikirde olmayabiliriz ancak şeffaf kalmaya ve diyalog fırsatları yaratmayı sürdürmeye kararlıyız" diyen şirket, "Bu diyaloglar araştırmacı takdir etkinliklerinde, güvenlik konferanslarında ve açıkları anlamakla ve gidermekle uğraşırken her gün birlikte yürüttüğümüz çalışmalarda gerçekleşiyor" diye vurguladı.
Bu izinsiz ifşaların ardından GitHub'ın geçen hafta söz konusu araştırmacının hesabını kapattığı bildirildi. Daha sonra altı açığa ait exploit kodu GitLab'a yeniden yüklendi, ancak yeni açılan GitLab hesabı da şu anda engellenmiş durumda.
Araştırmacı, hafta sonunda yayımladığı bir gönderide, "Özetle, ben aktif biçimde iletişim kurmaya çalıştığımda beni reddettiler, bana hakaret ettiler ve herkesin önünde açıkça küçük düşürdüler" iddiasında bulundu. Ardından, "Bug'ları bildirirken kullandığım Microsoft hesabını tamamen silip ardından CVE-2026-45585 güvenlik danışma notuyla beni kamuoyu önünde karaladılar. Tek kuruş almadan aptal gibi seve seve çalıştım, şimdi de GitHub hesabımı işaretleyip beni kamuoyu önünde iz bırakmadan silmenin keyfini mi çıkarıyorsunuz? Hepinize bu çatışmayı aktif biçimde tırmandırdığınızı kanıtlıyorlar. Ama artık dilenme dönemi benim için bitti" diyerek öfkesini dile getirdi.
Araştırmacı ayrıca 14 Temmuz 2026'da bir şey yayımlamayı planladığını ve "o gün Microsoft'un kemiklerini paramparça edeceğim" diye tehditte bulundu.
Yazarın bir cümlesi
Microsoft artık dost canlısı bir şirket değil gibi görünüyor
7 yorum
Microsoft’un son dönemdeki gidişatında eleştirilecek çok nokta olsa da, söz konusu araştırmacı denilen kişinin davranış biçiminin de fazlasıyla sert ve sorumsuz olduğu düşünülebilir.
Özellikle bilgi güvenliği söz konusu olduğunda, belirli bir zafiyet ne kadar acil ve kritik olursa olsun, yanlış ele alındığında zero-day saldırılarında derhal kötüye kullanılabilecek kadar hassas bir konu olduğu için, bu alanda yerleşmiş ilke ve kurallara sıkı biçimde uyulması gerekir; bu ilke ve kuralları ciddi şekilde ihlal etmiş olması nedeniyle savunulması ya da desteklenmesi zor bir durum olduğunu düşünüyorum.
Açığı bildirmişler ama yine de düzeltmemişler... Microsoft gerçekten pes dedirtiyor. Hatta açığı kullanarak saldırmak için mi koruyorlar diye bile düşündürüyor. Linux’a geçme isteğim ciddi biçimde artıyor. Düzeltme kapasiten yoksa yardım istemek gerekir. Para ödemek istemiyorsan eleştirilerin hedefi olmayı da göze almalısın... Bir de mağdur rolü yapmaya kalkıyorlar.
Ben profesyonel değilim. Sadece o anda ihtiyacım olan şeyi uygun şekilde yapıp kullanıyorum.
En başta Microsoft, geliştiricilere geliştirme ortamı konusunda (dokümantasyon dahil) inanılmaz destek verirken bile açık kaynağa dost değildi.
Satya Nadella CEO olduktan sonra açık kaynağa daha dost bir çizgi izlemeye başladı. Bu yüzden kendilerine karşı daha olumlu hisler oluştu. Bunlardan biri de WSL.
Microsoft'un şu anda yapay zeka tarafında pek başarılı olmadığına katılıyorum. İster GitHub Copilot olsun ister işletim sistemine entegre Copilot.
Sebebi ne olursa olsun, zero-day açığına karşı hiçbir hazırlık yokken bu açığı kamuya açıklamak, bunu yapan kişinin kötü niyetli bir hacker olduğunu düşündürür. Hacking denilen şeyde zor olan, açığı bulmak ve o açıktan yararlanmaktır. Ama benim yazdığım program tüm yetkilerle kurulup çalıştırılabiliyorsa, herkes kötü amaçlı bir program yapabilir.
Microsoft iyi mi müdahale etti kötü mü etti diye tartışmadan önce, açığa karşı hazırlık yapılmamış olmasına rağmen bunu açıklamak siber terörden başka bir şey değildir.
Bana göre bu araştırmacının tavrı biraz
"Bulduğum şey ne kadar tehlikeli bir açık, tabii ki tüm kurumun kapasitesini seferber edip bunu en yüksek öncelikle ele almalılar, değil mi?"
gibi hissettiriyor
İhbarı alıp bir açıklama yapmadan bunu bir yıl boyunca bekletiyorlarsa sorun Microsoft tarafındadır
ama kendi istediği hızda yanıt vermediler diye yeni bir açığı pat diye yayımlayacağım demek, bunu beyaz şapkalıdan çok siyah şapkalıya yakın gösteriyor bana
O araştırmacı gerçekten de protestoyu bolca küfür yiyecek şekilde yapmış.
Microsoft'un son dönemdeki adımları konusunda ben de hayal kırıklığı yaşıyorum. Ancak araştırmacının davranışının da sorunlu olduğunu düşünüyorum.
Genel olarak güvenlik açıklarında, araştırmacının bunu açıklayabilmesi için önce üreticiye bildirim yapılması ve ardından 90 gün geçmesi yönünde yerleşik bir uygulama vardır.
Geliştiriciler bilir; mevcut işlere eklenen güvenlik yamalarının hazırlanması ister istemez zaman alabilir. Bu nedenle bu süre boyunca risk ve önem derecesi değerlendirilip öncelik sırasına göre ele alınabilsin diye, teamül gereği 90 günlük bir açıklama erteleme süresi oluşmuştur.
Bunu bu kadar sorumsuzca ifşa etmek, bence Microsoft'tan da öte gerçek kullanıcıları savunmasız saldırılara açık bırakmak anlamına geliyor.
Kişisel çıkar peşinde koşmak ile kamu yararına yönelik tanıtım birbirinden ayrılmalıdır. Kamu yararına yönelik pazarlama yöntemleri kullanırken buna denk düşen kamusal sorumluluğu üstlenmiyorsa, bu kullanıcılarla alay etmektir. Master Bang-i