CISA, SharePoint Sunucularında Aktif İstismar Edilen Güvenlik Açıklarına Karşı Sert Önlemler Alınmasını İstiyor Dünya Geneli

CISA, SharePoint Sunucularında Aktif İstismar Edilen Güvenlik Açıklarına Karşı Sert Önlemler Alınmasını İstiyor

CISA, SharePoint Server'da aktif istismar edilen dört güvenlik açığı için acil yama ve sertleştirme önlemleri çağrısı yapıyor. Kurumların derhal harek

CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı), 16 Temmuz 2026 tarihinde yayımladığı güncellenmiş uyarıda, on-premises SharePoint Server sürümlerini hedef alan dört kritik güvenlik açığının aktif olarak istismar edildiğini duyurdu. Bu açıklar, Subscription Edition, 2019 ve 2016 dahil olmak üzere desteklenen tüm şirket içi SharePoint sürümlerini etkiliyor. Siber saldırganlar, bu zafiyetleri kullanarak yetkisiz erişim sağlıyor, uzaktan kod yürütme (RCE) gerçekleştiriyor ve IIS makine anahtarlarını çalarak kalıcılık elde ediyor. CISA, kurumları etkilenen SharePoint sunucularını yakından izlemeye ve herhangi bir istismar belirtisine karşı dikkatli olmaya çağırıyor.

Aktif olarak istismar edilen güvenlik açıkları arasında CVE-2026-32201 (14 Nisan 2026'da KEV kataloğuna eklendi), CVE-2026-45659 (1 Temmuz 2026), CVE-2026-56164 (14 Temmuz 2026) ve CVE-2026-58644 (16 Temmuz 2026) yer alıyor. Bu açıklar, saldırganların SharePoint sunucularına sızmasına, hassas verilere erişmesine ve kötü amaçlı yazılım dağıtmasına olanak tanıyor. Özellikle IIS makine anahtarlarının çalınması, saldırganların ASP.NET view state gibi güvenlik mekanizmalarını aşmasına ve kalıcı erişim sağlamasına yol açabiliyor.

CISA, kurumların bu tehditlere karşı acilen aşağıdaki önlemleri almasını öneriyor: Microsoft tarafından sağlanan en son yamaları ve güvenlik güncellemelerini uygulayın, yüklemenin başarıyla tamamlandığını doğrulayın ve mümkün olduğunda yama döngülerini kısaltın. Ayrıca, her SharePoint web uygulaması için Antimalware Scan Interface (AMSI) entegrasyonunun etkinleştirildiğinden emin olun. Microsoft'un AMSI yapılandırma kılavuzunu takip ederek Request Body Scan Mode için 'Full Mode' seçeneğini kullanın. AMSI ve Microsoft Defender Antivirus (MDAV) algılamaları, istismar girişimlerini tespit etmek için kritik öneme sahiptir.

Gelecekte Ne Bekleniyor?

AMSI algılamaları arasında 'Exploit:Script/SuspSignoutReqBody.A' (istek gövdesi taraması, yalnızca SharePoint Server Subscription), 'Exploit:Script/ToolPaneAuthBypass.A' (istek başlığı taraması, 2016, 2019 ve Subscription Edition) ve 'Exploit:Script/ToolPaneAuthBypass.C' (RCE kapsamı, tüm sürümler) bulunuyor. MDAV için 'Backdoor:MSIL/LeakFang.A!dha' algılaması, IIS korumalı sırların çalınması gibi istismar sonrası etkinlikleri işaret ediyor. Kurumlar, pozitif algılama durumunda olay müdahale planlarını derhal uygulamalıdır.

Sistem Güvenliği

CISA ayrıca SharePoint sunucularının sertleştirilmesi için ek önlemler öneriyor: IIS makine anahtarlarını döndürmeden önce, anahtar toplayıcılar da dahil olmak üzere tüm istismar eserlerini tespit edip giderin. Microsoft'un ASP.NET view state güvenliği ve anahtar yönetimi en iyi uygulamalarını inceleyin. Özelleştirilmiş günlük mekanizmaları oluşturarak anormal istekleri, şüpheli SharePoint işlemci etkinliklerini, web shell'leri ve makine anahtarı erişimlerini izleyin. CISA'nın olay günlüğü ve tehdit tespiti için en iyi uygulamalarını kullanın.

Uzmanların Görüşleri

SharePoint sunucularını doğrudan internete maruz bırakmaktan kaçının; eğer gerekliyse, yalnızca katman 7 ters proxy veya eşdeğer bir uygulama katmanı güvenlik kontrolü arkasında yapılandırın. SharePoint Merkezi Yönetim'e harici erişimi engelleyin, farm ve veritabanı iletişimlerini yalnızca gerekli sistemlerle sınırlandırın ve Microsoft'un rol bazlı port, hizmet ve Web.config ayarları için SharePoint güvenlik sertleştirme kılavuzunu inceleyin. CISA, kurumların Microsoft'un SharePoint güvenlik açıkları istismarıyla ilgili rehberini düzenli olarak takip etmesini ve gerekli güncellemeleri uygulamasını önemle vurguluyor.

Kurumlar, herhangi bir şüpheli etkinlik veya olayı CISA'nın 7/24 Operasyon Merkezi'ne ([email protected] veya 1-844-Say-CISA) bildirmelidir. CISA, bu uyarıyı yeni rehberlikler doğrultusunda güncelleyebilir. Unutulmamalıdır ki bu rapor yalnızca bilgilendirme amaçlıdır ve CISA herhangi bir ticari kuruluşu veya ürünü onaylamamaktadır. Microsoft'un bu uyarıya katkı sağladığı belirtilmiştir.

Kaynak: cisa.gov

Paylaş: