Microsoft SQL Server Sıfır Gün Güvenlik Açığı, Saldırganların Ayrıcalıkları Yükseltmesine İzin Verir

Microsoft, SQL Server'da kimliği doğrulanmış saldırganların ayrıcalıklarını etkilenen veritabanı sistemlerinde en yüksek yönetim düzeyine yükseltmelerine olanak tanıyan kritik bir sıfır gün güvenlik açığını açıkladı. CVE -2026 -21262 olarak izlenen kusur, 10 Mart 2026 'da resmi olarak yayınlandı ve halihazırda kamuya açıklandı ve bu da kurumsal ortamlarda SQL Server çalıştıran kuruluşlar için acil endişelere yol açtı. Güvenlik açığı, Microsoft SQL Server içindeki yanlış erişim kontrolünden (CWE -284) kaynaklanır ve yetkili bir saldırganın bir ağ üzerindeki ayrıcalıkları yükseltmesini sağlar. Microsoft'un tavsiyesine göre, bu kusurdan başarıyla yararlanan bir tehdit aktörü, bir SQL Server ortamındaki en yüksek erişim seviyesi olan SQL sistem yöneticisi ayrıcalıkları kazanabilir ve böylece veritabanı örneği üzerinde tam kontrol sahibi olabilir. Kusur, Önemli önem derecesi olarak sınıflandırılan 8.8 'lik bir CVSS v3.1 taban puanı taşır. Saldırı vektörü düşük karmaşıklığa sahip ağ tabanlıdır, başlatmak için yalnızca düşük seviyeli ayrıcalıklar gerektirir ve kullanıcı etkileşimi gerektirmez. Etki, üç kritik güvenlik boyutunun tümünü kapsamaktadır: gizlilik, bütünlük ve kullanılabilirlik, hepsi Yüksek olarak derecelendirilmiştir ve bu güvenlik açığını özellikle veriye duyarlı ortamlarda tehlikeli hale getirmektedir. Microsoft SQL Server Sıfır Gün Güvenlik Açığı

Microsoft, güvenlik açığının kamuya açıklandığını, ancak henüz vahşi doğada aktif olarak kullanılmadığını ve istismar edilebilirliğin "Daha Az Sömürü Olasılığı" olarak değerlendirildiğini doğruladı. Bununla birlikte, kamuya açıklama statüsü, tehdit aktörlerinin çalışma açıkları geliştirmelerinin önündeki engeli önemli ölçüde azaltmaktadır. Açık izinlere sahip kimliği doğrulanmış bir saldırgan, SQL Server örneğinde oturum açarak ve oturumlarını sistem yöneticisi seviyesine yükseltmek için uygunsuz erişim kontrolü kusurundan yararlanarak güvenlik açığından yararlanabilir.