CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı), kurum içi SharePoint Server örneklerini hedef alan üç kritik güvenlik açığının (CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164) aktif olarak istismar edildiğine dair acil bir uyarı yayınladı. Bu açıklar, siber tehdit aktörlerinin SharePoint sunucularına yetkisiz erişim sağlamasına olanak tanıyor. Etkilenen sürümler arasında SharePoint Server Subscription Edition, 2019 ve 2016 yer alıyor. Saldırganlar, uzaktan kod yürütme (RCE) ve sömürü sonrası faaliyetlerle IIS (Internet Information Services) makine anahtarlarını çalabiliyor, deserialization teknikleri kullanarak kalıcılık sağlıyor ve kötü amaçlı yazılım dağıtabiliyor.
CISA, kurumların etkilenen SharePoint sunucularını herhangi bir istismar belirtisi veya olağandışı etkinlik açısından yakından izlemesini tavsiye ediyor. Ayrıca, Microsoft tarafından henüz istismar edildiği bilinmeyen ancak yamalanmadığı takdirde potansiyel risk oluşturan yeni CVE'ler de açıklandı. Bu nedenle, kurumların güncellemeleri en kısa sürede uygulaması kritik önem taşıyor.
CISA'nın önerdiği ilk adım, Microsoft'tan en son yamaları ve güvenlik güncellemelerini uygulamak, kurulumun başarıyla tamamlandığını doğrulamak ve mümkünse yama döngülerini kısaltmak. İkinci olarak, her SharePoint web uygulaması için AMSI (Antimalware Scan Interface) entegrasyonunun etkinleştirildiğinden emin olunmalı. Microsoft'un 'Configure AMSI integration with SharePoint Server' kılavuzu izlenmeli ve mümkün olduğunda 'Full Mode' seçeneği kullanılmalı. Şüpheli durumlarda, AMSI ve Microsoft Defender Antivirus (MDAV) algılamaları kullanılmalı ve olumlu tespitlerde kurumun olay müdahale planı devreye sokulmalı.
Detaylar ve Etkileri
CISA ayrıca, IIS makine anahtarlarını döndürmeden önce, makine anahtarı toplayıcıları da dahil olmak üzere herhangi bir sızma artefaktının tespit edilip giderilmesini öneriyor. Microsoft'un 'Improved ASP.NET view state security and key management' belgesi en iyi uygulamalar için referans alınmalı. Ayrıca, anormal istekler, şüpheli SharePoint çalışan işlem etkinliği, web shell'ler ve makine anahtarı erişimi gibi etkinlikleri tespit etmek için özel günlük mekanizmaları oluşturulmalı. CISA'nın 'Best Practices for Event Logging and Threat Detection' belgesi bu konuda yol gösterici olabilir.
SharePoint sunucularının doğrudan internete maruz bırakılmaması, eğer gerekliyse yalnızca kimlik doğrulama gerektiren ve istekleri inceleyip filtreleyebilen bir Layer 7 ters proxy veya eşdeğer uygulama katmanı güvenlik kontrolü arkasında yapılandırılması öneriliyor. Ayrıca, SharePoint Merkezi Yönetim'e harici erişim engellenmeli, farm ve veritabanı iletişimleri yalnızca gerekli sistemlerle sınırlandırılmalı ve Microsoft'un SharePoint Server güvenlik sağlamlaştırma kılavuzundaki rol tabanlı port, hizmet ve Web.config ayarları gözden geçirilmelidir.
CISA, bu güvenlik açıklarını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi: CVE-2026-32201 (14 Nisan 2026), CVE-2026-45659 (1 Temmuz 2026) ve CVE-2026-56164 (14 Temmuz 2026). Kurumlar, olayları veya olağandışı etkinlikleri CISA'ya 7/24 Operasyon Merkezi üzerinden bildirmelidir. CISA, bu uyarıyı yeni rehberlik yayınlandıkça güncelleyebileceğini belirtiyor. Bu rapor yalnızca bilgilendirme amaçlı olup, herhangi bir ticari varlığın veya ürünün onaylandığı anlamına gelmez.
Kaynak: cisa.gov