Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Salı günü yaptığı uyarıda, Microsoft SharePoint Server'ın şirket içi sürümlerindeki üç güvenlik açığının aktif olarak sömürüldüğünü bildirdi. Bu açıklar, saldırganların internet bilgi hizmeti (IIS) makine anahtarlarını çalmasına, serileştirme çözme (deserialization) teknikleriyle kalıcı yetkisiz erişim elde etmesine ve ardından kötü amaçlı yazılım yüklemesine olanak tanıyor.
Güvenlik açıklarından ilki olan CVE-2026-32201, Nisan ayında duyurulmuştu ve hatalı girdi doğrulaması nedeniyle bir saldırganın ağ üzerinden kimlik sahtekarlığı (spoofing) yapmasına izin veriyor. İkinci açık olan CVE-2026-45659 ise, güvenilmeyen verilerin serileştirme çözme işlemiyle ilgili bir uzaktan kod yürütme (RCE) açığı ve 8.8 şiddet puanına sahip. Üçüncü açık olan CVE-2026-56164 ise Salı günü duyuruldu ve bir saldırganın ağ üzerinde ayrıcalık yükseltmesine olanak tanıyor.
Rapid7 araştırmacıları, yeni duyurulan CVE-2026-55040 kimlik doğrulama atlatma açığının, başka bir açıkla birleştirildiğinde uzaktan kod yürütmeye yol açabileceğini ve Microsoft'un Ağustos güvenlik güncellemesine kadar yama yayımlanmayacağını belirtti. Bu durum, kuruluşlar için ciddi bir risk oluşturuyor.
SharePoint'in yaygın olarak kullanılan bir belge ve iş birliği platformu olması nedeniyle, bu sömürü faaliyetleri devlet ve diğer sektörlerdeki güvenlik ekipleri tarafından yakından izleniyor. Siber Güvenlik Merkezi (CIS) tehdit istihbaratı direktörü TJ Sayers, 'CIS, güvenlik açıklarını takip ediyor ve üyelere genel bir bakış, etkilenen sistemler listesi ve öneriler sunan bir danışma yayınladı. Tehdit aktörlerinin, satıcı yama notlarından çıkarılan açıklar da dahil olmak üzere, ifşa edilen güvenlik açıklarını 24 ila 72 saat içinde sömürmeye başladığını görüyoruz' dedi.
VulnCheck araştırmacıları, mevcut tehdit faaliyetlerinin geniş çaplı bir kampanyadan ziyade hedefli olduğunu belirtti. Ayrıca, Haziran ayında düzeltilen CVE-2026-58644 kodlu SharePoint RCE açığının yanlışlıkla Microsoft'un Haziran yama döngüsünün dışında bırakıldığına dikkat çekildi. VulnCheck güvenlik araştırmaları başkan yardımcısı Caitlin Condon, 'Genel olarak, düzenli bir SharePoint güvenlik açığı akışı görüyoruz; bunlar arasında açıklama öncesi sıfırıncı gün sömürüleri ve daha uzun vadeli n-day sömürüleri yer alıyor' dedi ve 2025'teki ToolShell kampanyasının kitlesel bir sömürü kampanyasına yol açtığını hatırlattı.
Gelecekte Ne Bekleniyor?
CISA, güvenlik ekiplerine Microsoft'un Antimalware Scan Interface (AMSI) özelliğini her SharePoint web uygulaması için etkinleştirmelerini, IIS makine anahtarlarını döndürmelerini ve makine anahtarı toplayıcıları gibi sızma izlerini kontrol etmelerini öneriyor. Ayrıca, SharePoint'in doğrudan internete maruz bırakılmaması ve SharePoint Merkezi Yönetim'e harici erişimin engellenmesi gerektiği vurgulanıyor. CISA, Microsoft'un SharePoint sağlamlaştırma kılavuzuna bir bağlantı da sağladı.
Kaynak: cybersecuritydive.com