Bir sonraki yazılım güncellemeniz, bilgisayarınızın anahtarlarını saldırganların eline verebilir. Windows 11’in 25H2 sürümüyle gelen Yönetici Koruması, Kullanıcı Hesabı Denetimi’nin (UAC) uzun süredir devam eden sessiz aşma geçmişini ortadan kaldırmayı vaat ediyordu. Bunun yerine, sınırlı yetkilere sahip kullanıcıların tek kelime etmeden tam yönetici ayrıcalıkları elde etmesine olanak tanıyan dokuz adet güvenlik açığıyla piyasaya sürüldü.
Bu açıkların tamamı tek bir araştırmacı tarafından önizleme sürümleri sırasında ortaya çıkarıldı. Microsoft, bu açıkların hepsini kapattı – bazıları lansmandan önce KB5067036 ile, diğerleri ise sonraki güncellemelerde. Ancak bu olay, ham bir gerçeği gözler önüne seriyor: hatta ‘güçlü’ yeniden tasarımlar bile yeni saldırı yüzeyleri barındırır, özellikle de sıradan kullanıcıları kötü amaçlı yazılımların yetki kapmalarından korumak için onlara güveniyorsanız.
Windows Yönetici Koruması Gerçekte Ne İşe Yarıyor?
Vista ile doğan UAC, yönetici hesaplarını sınırlı ve yükseltilmiş belirteçlere ayırıyordu ve aynı profili paylaşıyorlardı – bu da istismara davetiye çıkarıyordu. Saldırganlar, Windows 7’den itibaren paylaşımlı kayıt defteri anahtarlarını, belirteç taklitlerini ve otomatik yükseltme yapan ikili dosyaları istismar etti. UACMe gibi araçlar, en yeni Windows 11‘de bile hala geçerli olan 81 tekniği katalogluyor.
Yönetici Koruması, ‘omuz üstü’ yükseltmeyi (yönetici olmayan kullanıcılar için kullanılan) taklit eden bir gölge yönetici hesabı modeline geçiyor. Artık paylaşımlı profiller yok. Hesaplar arasında belirteç taklidi yok. Otomatik yükseltme yok. Kimlik bilgileri mi gireceksiniz? Pek sayılmaz – şifre zahmetine girmeden sorunsuz güvenlik hedefiyle gizli bir yöneticiyi otomatik olarak sağlıyor.
“UAC tasarımındaki temel sorun, hem sınırlı kullanıcı hem de yönetici kullanıcının aynı hesap olması, yalnızca farklı grup ve ayrıcalık setlerine sahip olmasıydı. Bu, kullanıcı dizini ve kayıt defteri anahtarı gibi profil kaynaklarını paylaştıkları anlamına geliyordu.”
Araştırmacının net teşhisi bu. Akıllıca bir hamle, değil mi? Yalnızca uygulama gecikti.
Acımasız gerçek. Dokuz bypass. Her biri sessiz, her biri komut istemi olmadan yükseltme yapıyor.
Bir Araştırmacı Dokuz Bypass’ı Nasıl Çatlattı?
Av, önizleme sürümlerinde başladı. Araştırmacı, UAC hizmetleri tarafından otomatik oluşturulan ve birincil kullanıcıya bağlı ancak izole edilmiş gölge hesap kurulumunu inceledi. Anahtar değişiklik: yükseltmeler artık bu gölge belirtecini talep ediyor, daha katı kontroller uyguluyor.
Ancak çatlaklar hızla belirdi. Bir yol, UAC’nin otomatik yükseltme günahlarını yankılayarak güvenilir ikili dosyaları yeniden kullandı. Diğerleri ise hizmet izinlerini veya özelliğin gözden kaçırdığı kayıt defteri yollarını manipüle etti. Detaylar burada üst düzeyde kalıyor (teknik derinlemesine analiz orijinal gönderide mevcut), ancak ‘nasıl’ sorusunun cevabı eksik izolasyona dayanıyordu: gölge hesap oluşturma, tam kilitlemeden önce sınırlı işlemlerin enjekte olması veya taklit etmesi için kancalar bırakmıştı.
Microsoft’un tepkisi mi? Hızlı düzeltmeler. Ancak buradaki asıl benzersiz içgörü, kaynaktan eksik olan şey: bu, 2009’daki Wininit hatası zincirini tekrarlıyor. O zamanlar, erken Windows 7 otomatik yükseltmesi, kum havuzu içindeki uygulamaların oturum-0 istismarları yoluyla çekirdeğe tırmanmasına izin veriyordu. Microsoft tepkisel olarak yamaladı, ancak desen tekrarlanıyor – aceleyle yapılmış ‘güvenli’ yükseltme her zaman bypass aileleri doğurur. Tahmin: Kırmızı takımlar kalıntıları inceledikçe, 2026 ortasına kadar UACMe’nin 25H2 girdileriyle şişmesini bekleyin.
Ve Microsoft’un PR yorumu mu? Onu ‘güvenli’ olarak pazarlıyorlar, UAC’yi uzun zaman önce sadece bir kolaylığa indirgediklerini söylüyorlar. Kabul edilebilir, ancak sağlamlık övüncü yaparken yarım yamalak izolasyonu piyasaya sürmek mi? Bu şüphecilik değil; ihmalkarlık.
Kullanıcılar için kısa vadeli acı. 1 Aralık 2025 itibarıyla Microsoft, uygulama uyumluluğu sorunları nedeniyle özelliği devre dışı bıraktı – onlar alakasız olduğunu iddia ediyor. Yamalar evrensel olarak gelene kadar kendi sorumluluğunuzda yeniden etkinleştirin.
UAC Bypass’ları Neden Hala Windows 11’i Sıkıntıya Sokuyor?
Kötü amaçlı yazılımlar onları seviyor. Sessiz yetki yükseltme, tarayıcı istismarlarını sistem devralmalarına dönüştürür: fidye yazılımı sürücülerinizi şifreler, tuş kaydediciler kurumsal kimlik bilgilerini kapar. Yönetici Koruması bunu hedefliyordu – UAC’yi savunmaya değer bir ‘sert sınır’ haline getirmek.
Omuz üstü yükseltme, şablon olarak kanıtlandı: ayrı hesaplar profil kurcalamasını engeller, taklidi ortadan kaldırır, otomatik yükseltmeleri sonlandırır. Ancak şifreler olmadan ölçeklendirmek mi? Gölge hesaplar yükseği hedefledi, hizmet başlatma ve yol çözümleme gibi kenar durumlarında tökezledi.
Daha derin mimari değişikliği: Windows geriye dönük uyumluluktan vazgeçmiyor. Vista dönemi ikili dosyaları hala varsayılanlar altında otomatik yükseliyor, çok az kişi ayarlarla oynuyor. Sonuç mu? 81 UACMe numarası, alt kümesi günlük olarak silahlanıyor. Yönetici Koruması tahtayı yeniden kurabilirdi – bunun yerine kaseti tekrar oynattı.
Kurumsal abartı alarmı. Microsoft, düzeltmeleri rutin olarak sunuyor, ancak özellik ön lansman devre dışı bırakma aceleci QA’yı haykırıyor. macOS’un SIP’si veya Linux’un sudo’su ile karşılaştırın: gölge hesap jimnastiği yapmadan sınırları zorluyorlar. Windows mı? Hala kuyruğunu kovalıyor.
En çok kullanıcılar hissediyor. Ev kurulumları varsayılan olarak yönetici hesaplarıyla gelir – telemetriye göre enfeksiyonların %80’i. Kurumsal mı? Grup Politikası hafifletir, ancak uç noktalar gecikir. Bu bypass destanı tek bir anlama gelir: hızlı yama yapın veya bir sonraki kimlik avı tıklamanız sizi ele geçirir.
Yönetici Koruması Abartmaya Değer mi?
Hayır. Henüz değil.
‘Neden’i doğru yakalıyor – paylaşımlı belirteç kusurları bypass’lar doğurdu – ancak ‘nasıl’ gevşek kenarları ortaya çıkardı. Dokuz güvenlik açığı, yükseltme akışlarının eksik modellemesini gösteriyor. Tarihsel paralellik: Vista’nın UAC’si laboratuvarlarda kırılmaz çıktı, haftalar içinde çatlatıldı. Burada da aynı.
Cesur çağrı: Microsoft, bir hibrit geliştirecektir – gölge hesaplar artı biyometrik bağlamalar (Windows Hello entegrasyonu?). O zamana kadar, ‘her zaman sor’ UAC’ye bağlı kalın, standart hesapları ayırın. UACMe gibi araçlar varsayılanın bir süzgeç olduğunu kanıtlıyor.
Geliştiriciler, ikili dosyalarınızı denetleyin. Kullanılmıyorsa otomatik yükseltmeyi devre dışı bırakın. Sistem yöneticileri, gölge kimlik bilgileri için LAPS’yi zorunlu kılın.
Kazanım mı? Bildirilen tüm sorunlar çözüldü. Araştırmacı Microsoft’un yanıt verme hızını takdir ediyor. Ancak güven yavaş yeniden inşa edilir – özellikle ‘daha güçlü’ kalkanınız delikli çıktığında.
Gerçek insanlar üzerindeki etki. O korsan uygulama mı? Şimdi bir arka kapı. Aile PC’sine fidye yazılımı mı? Tasarrufları tüketir. İş dizüstü bilgisayarı mı? Alan yöneticiye yanal hareket. Yetki yükseltme kusurları soyut değildir; gerçek maliyetleri çıkarır.
🧬 İlgili İçgörüler
- Daha Fazlasını Okuyun: 36 Sahte npm Strapi Eklentisi, Geliştirme Hatlarına Redis ve Postgres Arka Kapıları Sızdırdı
- Daha Fazlasını Okuyun: Siyasetçilerin Güvenlik Harcamaları 5 Kat Arttı – Tehditler Kapılarına Dayandı
Sıkça Sorulan Sorular
Windows Yönetici Koruması Nedir?
Sessiz bypass’ları ayrı profiller ve otomatik yükseltme olmaksızın engelleyerek izole edilmiş yükseltmeler için gölge yönetici hesapları kullanan yeni 25H2 özelliği, UAC’nin yerini alıyor.
Windows 11’de Hala UAC Bypass’ları Var mı?
Evet – UACMe aracılığıyla bilinen 81 adet, çoğu aktif. Yönetici Koruması bunu düzeltmeyi amaçladı ancak dokuz bypass ile piyasaya sürüldü (şu anda yamalandı).
Yönetici Korumasını Şimdi Etkinleştirmeli miyim?
Bekleyin – uyumluluk sorunları nedeniyle Aralık 2025’ten itibaren devre dışı bırakıldı. Tamamen yamalandıktan sonra test edin; varsayılanlar riskli kalmaya devam ediyor.
