CISA Uyardı: SharePoint’teki Çoklu Açıklar Aktif Olarak İstismar Ediliyor Dünya Geneli

CISA Uyardı: SharePoint’teki Çoklu Açıklar Aktif Olarak İstismar Ediliyor

CISA, SharePoint Server’daki üç kritik açığın hedef alındığını duyurdu. Saldırganlar deserialization yoluyla kalıcı erişim sağlıyor.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Salı günü yaptığı uyarıda, Microsoft SharePoint Server’ın şirket içi sürümlerindeki üç güvenlik açığının aktif olarak istismar edildiğini bildirdi. Saldırganlar bu açıkları kullanarak internet bilgi hizmeti (IIS) makine anahtarlarını çalıyor, deserialization teknikleriyle kalıcı yetkisiz erişim sağlıyor ve ardından kötü amaçlı yazılım bulaştırıyor.

İlk açık, CVE-2026-32201 olarak izlenen ve Nisan ayında duyurulan hatalı girdi doğrulama zafiyeti. Bu açık, saldırganın ağ üzerinden kimlik sahtekarlığı (spoofing) yapmasına olanak tanıyor. İkinci açık ise CVE-2026-45659 koduyla bilinen ve güvenilmeyen verilerin deserialization’ına dayanan uzaktan kod çalıştırma (RCE) zafiyeti. Bu açığın şiddet puanı 8.8 olarak belirlendi. Üçüncü açık (CVE-2026-56164) ise Salı günü duyuruldu ve saldırganın ağ üzerinden ayrıcalık yükseltmesine izin veriyor.

Rapid7 araştırmacıları, yeni duyurulan bir kimlik doğrulama atlatma açığının (CVE-2026-55040) ikinci bir zafiyetle birleştirilmesi durumunda uzaktan kod çalıştırmaya yol açabileceği konusunda uyardı. Rapid7, bu açık için Microsoft’un Ağustos güvenlik güncellemesine kadar yama yayınlamayacağını belirtti.

SharePoint, belge yönetimi ve işbirliği platformu olarak yaygın kullanıldığından, bu istismar faaliyetleri devlet ve diğer sektörlerdeki güvenlik ekipleri tarafından yakından takip ediliyor. Center for Internet Security (CIS) Tehdit İstihbaratı Kıdemli Direktörü TJ Sayers, “CIS, güvenlik açıklarını takip ediyor ve üyelere etkilenen sistemlerin listesi ile önerileri içeren bir uyarı yayınladı. Tehdit aktörlerinin, ifşa edilen güvenlik açıklarını, satıcı yama notlarından çıkarılanlar da dahil olmak üzere, yayınlandıktan sonra 24 ila 72 saat içinde istismar etmeye başladığını görüyoruz” dedi.

CISA, güvenlik ekiplerine Microsoft’un Antimalware Scan Interface (AMSI) özelliğinin her SharePoint web uygulaması için etkinleştirildiğinden emin olmalarını tavsiye etti. Microsoft, AMSI’nin SharePoint ile entegrasyonu için rehberlik sağladı. Ayrıca, internet bilgi hizmetleri makine anahtarlarının değiştirilmesi ve makine anahtarı toplayıcıları (machine key harvesters) dahil olmak üzere herhangi bir sızma artefaktının kontrol edilmesi gerektiği belirtildi.

CISA, kullanıcıların SharePoint’i doğrudan internete maruz bırakmaktan kaçınmalarını ve SharePoint Merkezi Yönetim’e (Central Administration) harici erişimi engellemelerini önerdi. CISA, Microsoft’un SharePoint sertleştirme kılavuzuna bir bağlantı da sağladı. Bu önlemler, kurumların bu kritik zafiyetlere karşı korunmasına yardımcı olacaktır.

Kaynak: cybersecuritydive.com

Paylaş: