Microsoft, GitHub hesabını engelledikten sonra Windows zero-day ifşasını sert biçimde eleştirdi
(thehackernews.com)Microsoft, yamalanmamış zero-day açıklarını kamuya izinsiz açıklayan güvenlik araştırmacısına sert tepki gösterip GitHub hesabını engelleyince, söz konusu araştırmacının ek ifşalar yapacağını duyurmasıyla gerilim tırmanıyor.
Tam çeviri
Microsoft, Coordinated Vulnerability Disclosure (CVD) sürecini güçlü biçimde desteklediğini belirterek, güvenlik araştırma topluluğunu bulgularını paylaşmaya ve açıklar kamuya açıklanmadan önce etkilenen tedarikçilere bunları net biçimde anlayıp çözme fırsatı vermeye çağırdı.
Bu olay, 'Chaotic Eclipse' (diğer adıyla Nightmare-Eclipse) adlı araştırmacının geçen ay boyunca Microsoft'un zafiyet ele alma sürecindeki yetersizlikleri gerekçe göstererek Defender ve BitLocker dahil çeşitli Windows bileşenlerini etkileyen birden fazla zero-day açığın ayrıntılarını kamuya açıklamasıyla başladı.
Microsoft, "Son birkaç hafta içinde birden fazla zero-day açığı kamuya açıklandı" diyerek, "Bu açıkların ayrıntıları açıklanmadan önce Microsoft ile paylaşılmadı ve bu durum müşterilerimizi gereksiz riske maruz bıraktı" ifadelerini kullandı. Şirket ayrıca, "İzinsiz açıklamanın yarattığı riske yanıt vermek için güvenlik ekiplerimiz etkiyi anlamak, müşterileri korumak ve güvenlik güncellemeleri geliştirmek amacıyla 7/24 çalışıyor" dedi.
Açıklanan açıklar toplam altı adet: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma ve MiniPlasma. Bunlar arasında BlueHammer, RedSun ve Undefend dahil üç açık {p:50} hâlihazırda gerçek ortamlarda kötü niyetli saldırılarda aktif biçimde istismar ediliyor.
Microsoft, bu tür koordine edilmemiş açık ifşalarına "kararlılıkla" karşı çıktığını belirterek, yamalanmamış açıklara ait proof-of-concept (PoC) kodunun kötü niyetli aktörlerin eline geçmesi hâlinde "gerçek dünyada ciddi sonuçlara" yol açabileceği uyarısında bulundu. Ayrıca, "Güvenlik topluluğunun herkesi korumak için birlikte çalışabilmesi adına farklı bakış açılarını memnuniyetle karşılıyoruz. Her konuda her zaman aynı fikirde olmayabiliriz ancak şeffaf kalmaya ve diyalog fırsatları yaratmayı sürdürmeye kararlıyız" diyen şirket, "Bu diyaloglar araştırmacı takdir etkinliklerinde, güvenlik konferanslarında ve açıkları anlamakla ve gidermekle uğraşırken her gün birlikte yürüttüğümüz çalışmalarda gerçekleşiyor" diye vurguladı.
Bu izinsiz ifşaların ardından GitHub'ın geçen hafta söz konusu araştırmacının hesabını kapattığı bildirildi. Daha sonra altı açığa ait exploit kodu GitLab'a yeniden yüklendi, ancak yeni açılan GitLab hesabı da şu anda engellenmiş durumda.
Araştırmacı, hafta sonunda yayımladığı bir gönderide, "Özetle, ben aktif biçimde iletişim kurmaya çalıştığımda beni reddettiler, bana hakaret ettiler ve herkesin önünde açıkça küçük düşürdüler" iddiasında bulundu. Ardından, "Bug'ları bildirirken kullandığım Microsoft hesabını tamamen silip ardından CVE-2026-45585 güvenlik danışma notuyla beni kamuoyu önünde karaladılar. Tek kuruş almadan aptal gibi seve seve çalıştım, şimdi de GitHub hesabımı işaretleyip beni kamuoyu önünde iz bırakmadan silmenin keyfini mi çıkarıyorsunuz? Hepinize bu çatışmayı aktif biçimde tırmandırdığınızı kanıtlıyorlar. Ama artık dilenme dönemi benim için bitti" diyerek öfkesini dile getirdi.
Araştırmacı ayrıca 14 Temmuz 2026'da bir şey yayımlamayı planladığını ve "o gün Microsoft'un kemiklerini paramparça edeceğim" diye tehditte bulundu.
Yazarın bir cümlesi
Microsoft artık dost canlısı bir şirket değil gibi görünüyor
1 yorum
Ben profesyonel değilim. Sadece o anda ihtiyacım olan şeyi uygun şekilde yapıp kullanıyorum.
En başta Microsoft, geliştiricilere geliştirme ortamı konusunda (dokümantasyon dahil) inanılmaz destek verirken bile açık kaynağa dost değildi.
Satya Nadella CEO olduktan sonra açık kaynağa daha dost bir çizgi izlemeye başladı. Bu yüzden kendilerine karşı daha olumlu hisler oluştu. Bunlardan biri de WSL.
Microsoft'un şu anda yapay zeka tarafında pek başarılı olmadığına katılıyorum. İster GitHub Copilot olsun ister işletim sistemine entegre Copilot.
Sebebi ne olursa olsun, zero-day açığına karşı hiçbir hazırlık yokken bu açığı kamuya açıklamak, bunu yapan kişinin kötü niyetli bir hacker olduğunu düşündürür. Hacking denilen şeyde zor olan, açığı bulmak ve o açıktan yararlanmaktır. Ama benim yazdığım program tüm yetkilerle kurulup çalıştırılabiliyorsa, herkes kötü amaçlı bir program yapabilir.
Microsoft iyi mi müdahale etti kötü mü etti diye tartışmadan önce, açığa karşı hazırlık yapılmamış olmasına rağmen bunu açıklamak siber terörden başka bir şey değildir.