ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Microsoft SharePoint sunucularını hedef alan ve aktif olarak sömürülen altı kritik güvenlik açığı için acil yama uyarısı yayınladı. Ajans, özellikle federal kurumların BOD 26-04 yönergesi kapsamında bu açıkları üç gün içinde kapatmasını emretti. Söz konusu açıklar, Microsoft'un Temmuz 2026 Patch Tuesday güncellemeleriyle kapatılan CVE-2026-56164, CVE-2026-55040 ve CVE-2026-58644 ile daha önceki aylarda yamalanan CVE-2026-32201 ve CVE-2026-45659'u içeriyor. Bu açıklar, şirket içi SharePoint Server 2016, 2019 ve Subscription Edition sürümlerini etkiliyor.
CISA'nın en kritik uyarısı, CVE-2026-56164 kodlu yetki yükseltme açığına yönelik. Bu açık, kimlik doğrulama gerektirmeden uzaktan sömürülebiliyor ve saldırganlara SharePoint sunucusunda yüksek ayrıcalıklar kazandırıyor. Microsoft, bu açığı Temmuz 2026 Patch Tuesday güncellemeleriyle kapatmış olsa da, CISA'nın Kataloğuna (KEV) eklenmesi, açığın halen aktif olarak kullanıldığını gösteriyor. Uzmanlar, bu açığın özellikle hedefli saldırılarda ilk giriş noktası olarak kullanıldığını belirtiyor.
CVE-2026-55040 ve CVE-2026-58644 ise kritik seviyedeki uzaktan kod yürütme (RCE) açıkları. Bu açıklar, saldırganların SharePoint güvenlik özelliklerini atlayarak rastgele kod çalıştırmasına olanak tanıyor. CISA, bu açıkların henüz aktif olarak sömürülmediğini ancak potansiyel risk taşıdığını vurguluyor. Özellikle CVE-2026-55040, bir güvenlik özelliği atlatma (security feature bypass) zafiyeti olarak sınıflandırılıyor ve diğer açıklarla birleştirildiğinde ciddi sonuçlar doğurabiliyor.
Sistem Güvenliği
Önceki aylarda yamalanan ve halen sömürülen açıklar da listede yer alıyor. CVE-2026-32201, Nisan 2026'da yamalanan bir kimlik sahteciliği (spoofing) açığı; CVE-2026-45659 ise Mayıs 2026'da acil bant dışı (out-of-band) güncellemeyle kapatılan bir kod yürütme açığı. CISA, her iki açığın da saldırganlar tarafından sıfırıncı gün olarak kullanıldığını doğruladı. CVE-2026-45659, özellikle Internet Information Services (IIS) makine anahtarlarının çalınması ve serileştirme teknikleriyle kalıcılık sağlama gibi sömürü sonrası faaliyetlerle ilişkilendiriliyor.
Önemli Gelişmeler
CISA, kurumlara SharePoint sunucularını anormal aktivitelere karşı izlemelerini tavsiye ediyor. Saldırganların bu açıklar aracılığıyla IIS makine anahtarlarını çalarak kalıcı erişim sağladığı ve kötü amaçlı yazılım dağıttığı tespit edilmiş durumda. Ajans, yama yapmanın yanı sıra şu önlemleri de alınmasını öneriyor: IIS makine anahtarlarını döndürmek, özel günlük kaydı (logging) etkinleştirmek, SharePoint sunucularını doğrudan internete açmamak, yönetim arayüzlerine erişimi kısıtlamak ve güvenlik ürünlerinin tüm SharePoint web uygulamalarını kapsadığından emin olmak.
Bu uyarı, Beyaz Saray'ın yapay zeka destekli 'Gold Eagle' güvenlik açığı koordinasyon girişimi ve Rusya'nın kritik altyapı yönlendiricilerine yönelik siber saldırılarıyla ilgili uyarıların ardından geldi. CISA, kurumların yalnızca yama yapmakla kalmayıp, aynı zamanda saldırı tespit ve müdahale yeteneklerini de geliştirmesi gerektiğini vurguluyor. SharePoint sunucularının kurumsal ağlarda kritik bir rol oynadığı düşünüldüğünde, bu açıkların sömürülmesi veri sızıntısı, fidye yazılımı saldırıları ve tam ağ ele geçirilmesi gibi ciddi sonuçlara yol açabilir.
Kaynak: securityweek.com