CISA'dan SharePoint Kullanıcılarına Acil Uyarı: Yeni İstismarlar Hedefte Yazılım

CISA'dan SharePoint Kullanıcılarına Acil Uyarı: Yeni İstismarlar Hedefte

CISA, SharePoint Server'ları hedef alan üç kritik güvenlik açığının aktif olarak istismar edildiğini duyurdu. Uzaktan kod çalıştırma ve kalıcılık sağl

CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı), kurum içi SharePoint Server örneklerini hedef alan üç yeni güvenlik açığının aktif olarak istismar edildiğine dair kritik bir uyarı yayınladı. CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164 kodlu bu açıklar, tehdit aktörlerinin SharePoint sunucularına yetkisiz erişim sağlamasına olanak tanıyor. Özellikle tüm desteklenen şirket içi SharePoint Server sürümlerini (Subscription Edition, 2019 ve 2016) etkileyen bu açıklar, uzaktan kod çalıştırma (RCE) ve istismar sonrası faaliyetler için kullanılıyor. Saldırganlar, Internet Information Services (IIS) makine anahtarlarını çalarak ve deserialization teknikleri uygulayarak sistemde kalıcılık sağlıyor ve kötü amaçlı yazılım dağıtıyor.

CISA, kuruluşları etkilenen SharePoint sunucularını herhangi bir istismar veya olağandışı etkinlik belirtisine karşı yakından izlemeye çağırıyor. Henüz istismar edildiği bilinmeyen ancak Microsoft tarafından yamalanmazsa potansiyel risk oluşturduğu belirtilen yeni CVE'ler de bulunuyor. Bu nedenle, güvenlik yamalarının en kısa sürede uygulanması büyük önem taşıyor. CISA, olası bir ihlali tespit etmek ve düzeltmek için kuruluşlara şu adımları öneriyor: Microsoft'tan en son yamaları ve güvenlik güncellemelerini uygulayın, kurulumun başarıyla tamamlandığını doğrulayın ve mümkün olduğunda yama döngülerini kısaltın.

CISA ayrıca, her bir SharePoint web uygulaması için Antimalware Scan Interface (AMSI) entegrasyonunun etkinleştirildiğini doğrulamanızı öneriyor. Microsoft'un SharePoint Server ile AMSI entegrasyonu yapılandırma kılavuzunu izleyerek doğru yapılandırmayı sağlayın ve mümkün olduğunda İstek Gövdesi Tarama Modu için 'Tam Mod' seçeneğini belirleyin. Bir ihlalden şüpheleniliyorsa, aşağıdaki AMSI ve Microsoft Defender Antivirus (MDAV) algılamalarını kullanın ve olumlu algılamalar için kuruluşunuzun olay müdahale planını uygulayın: AMSI: Exploit:Script/SuspSignoutReqBody.A (istek gövdesi tarama, yalnızca SharePoint Server Subscription Edition), AMSI: Exploit:Script/ToolPaneAuthBypass.A (istek başlığı tarama, SharePoint Server 2016, 2019 ve Subscription Edition), AMSI: Exploit:Script/ToolPaneAuthBypass.C (RCE kapsamı, SharePoint Server 2016, 2019 ve Subscription Edition) ve MDAV: Backdoor:MSIL/LeakFang.A!dha (IIS korumalı sırları içeren istismar sonrası etkinlik uyarısı).

CISA, SharePoint Server sertleştirme önlemleri olarak şunları da öneriyor: IIS makine anahtarlarını döndürmeden önce, makine anahtarı toplayıcıları da dahil olmak üzere, anahtarların yeniden çalınmasına izin verebilecek herhangi bir sızma yapaylığını avlayın ve düzeltin. Microsoft'un Geliştirilmiş ASP.NET görünüm durumu güvenliği ve anahtar yönetimi en iyi uygulamalarını inceleyin. İstismar faaliyetlerini tespit etmek ve izlemek için özel günlük kaydı mekanizmaları oluşturun. Anormal istekler, şüpheli SharePoint çalışan işlemi etkinliği, web kabukları ve makine anahtarı erişimi için telemetriyi inceleyin. Daha fazla bilgi için CISA'nın Olay Günlüğü ve Tehdit Algılama için En İyi Uygulamalar belgesine bakın.

Sonuç ve Değerlendirme

SharePoint sunucularını doğrudan internete maruz bırakmaktan kaçının; gerekliyse, yalnızca kimlik doğrulaması gerektiren ve istekleri inceleyip filtreleyebilen bir Katman 7 ters proxy veya eşdeğer uygulama katmanı güvenlik kontrolünün arkasında yapılandırın. SharePoint Merkezi Yönetimi'ne harici erişimi engelleyin, çiftlik ve veritabanı iletişimini yalnızca gerekli sistemlerle sınırlandırın ve Microsoft'un rol tabanlı bağlantı noktaları, hizmetler ve Web.config ayarları için SharePoint Server güvenlik sertleştirme kılavuzunu inceleyin.

Detaylar ve Etkileri

CISA, kullanıcıları ve yöneticileri Uyarı: Microsoft, SharePoint Güvenlik Açıklarının İstismarına İlişkin Kılavuz Yayınladı belgesini incelemeye ve gerekli güncellemeleri uygulamaya çağırıyor. CISA, Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na şu açıkları ekledi: CVE-2026-32201 (14 Nisan 2026), CVE-2026-45659 (1 Temmuz 2026) ve CVE-2026-56164 (14 Temmuz 2026). CISA, bu Uyarıyı CISA veya diğer taraflarca yayınlanan yeni kılavuzları yansıtacak şekilde güncelleyebilir. Kuruluşlar, olayları veya olağandışı etkinlikleri CISA'ya 7/24 Operasyon Merkezi üzerinden [email protected] veya 1-844-Say-CISA (1-844-729-2472) numaralı telefondan bildirmelidir.

Kaynak: cisa.gov

Paylaş: