CISA, 16 Temmuz 2026 itibarıyla Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na eklenen CVE-2026-58644 ile birlikte, SharePoint Server'ı hedef alan dört kritik güvenlik açığının aktif olarak istismar edildiğini duyurdu. Bu açıklar, CVE-2026-32201, CVE-2026-45659, CVE-2026-56164 ve CVE-2026-58644 numaralarıyla kayıtlı olup, tüm desteklenen şirket içi SharePoint Server sürümlerini (Subscription Edition, 2019 ve 2016) etkiliyor. Saldırganlar, bu açıklar sayesinde uzaktan kod yürütme (RCE) gerçekleştirip IIS makine anahtarlarını çalarak kalıcılık sağlıyor ve kötü amaçlı yazılım yerleştiriyor.
Siber tehdit aktörleri, SharePoint Server örneklerine yetkisiz erişim elde etmek için bu güvenlik açıklarını kullanıyor. Özellikle RCE sonrası gerçekleştirilen serileştirme teknikleri ve IIS makine anahtarlarının çalınması, saldırganların sisteme kalıcı olarak yerleşmesine olanak tanıyor. CISA, kurumların etkilenen SharePoint Sunucularını yakından izlemesini ve olağandışı etkinlikleri takip etmesini öneriyor. Ayrıca, Microsoft tarafından yeni keşfedilen ancak henüz istismar edilmeyen bir güvenlik açığı da uyarıya eklendi.
CISA'nın önerileri arasında, Microsoft'tan en son yamaların uygulanması, AMSI (Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü) entegrasyonunun etkinleştirilmesi ve 'Tam Mod' seçeneğinin kullanılması yer alıyor. AMSI, SharePoint web uygulamalarında istek gövdesi ve başlık taraması yaparak Exploit:Script/SuspSignoutReqBody.A ve Exploit:Script/ToolPaneAuthBypass.A/C gibi tehditleri tespit ediyor. Ayrıca, Microsoft Defender Antivirus (MDAV) ile Backdoor:MSIL/LeakFang.A!dha gibi post-exploitation faaliyetlerine karşı koruma sağlanıyor.
Kurumların IIS makine anahtarlarını döndürmeden önce, anahtar toplayıcılar da dahil olmak üzere tüm izinsiz giriş izlerini temizlemesi gerekiyor. Microsoft'un ASP.NET görünüm durumu güvenliğine ilişkin en iyi uygulamaları takip edilmeli. Ayrıca, anormal istekler, şüpheli SharePoint çalışan işlem etkinlikleri, web kabukları ve makine anahtarı erişimi gibi tehditleri tespit etmek için özel günlük kaydı mekanizmaları oluşturulmalı.
Önemli Gelişmeler
CISA, SharePoint Sunucularının doğrudan internete açılmamasını, ancak gerekirse Katman 7 ters proxy veya eşdeğer bir uygulama katmanı güvenlik kontrolü arkasında yapılandırılmasını öneriyor. SharePoint Merkezi Yönetimine harici erişim engellenmeli, çiftlik ve veritabanı iletişimleri yalnızca gerekli sistemlerle sınırlandırılmalı. Microsoft'un rol tabanlı port, hizmet ve Web.config ayarlarına ilişkin güvenlik kılavuzu dikkate alınmalı.
CISA, kullanıcıları ve yöneticileri Microsoft'un SharePoint Güvenlik Açıkları İstismarına İlişkin Rehberi'ni incelemeye ve gerekli güncellemeleri uygulamaya çağırıyor. Olay veya olağandışı etkinliklerin CISA'ya bildirilmesi için [email protected] adresi veya 1-844-Say-CISA numarası kullanılabilir.
Kaynak: cisa.gov