ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Salı günü yayınladığı bir uyarıyla, saldırganların internet’e açık şirket içi SharePoint Server örneklerine sızmak için üç güvenlik açığını aktif olarak istismar ettiğini bildirdi. Bu açıklar, CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164 olarak takip ediliyor ve SharePoint Server Subscription Edition dahil olmak üzere desteklenen tüm şirket içi SharePoint Server sürümlerini etkiliyor. Subscription Edition, sürekli güncelleme modeli kullanan en son şirket içi sürüm olarak dikkat çekiyor.
CISA’nın uyarısına göre, saldırganlar bu güvenlik açıklarını kullanarak kimlik doğrulamasını atlatabiliyor, uzaktan kod çalıştırabiliyor ve sömürü sonrası faaliyetler gerçekleştirebiliyor. Bu faaliyetler arasında Internet Information Services (IIS) makine anahtarlarının çalınması ve tehlikeye atılmış sistemlere kalıcı erişim sağlayarak kötü amaçlı yazılım yerleştirilmesi yer alıyor. CISA ayrıca, Microsoft’un Salı günü yamaladığı ancak henüz vahşi ortamda istismar edildiği bilinmeyen iki SharePoint Server güvenlik açığını daha (CVE-2026-55040 ve CVE-2026-58644) saldırganlar için cazip hedefler olarak işaretledi.
İnternet güvenliği gözlem grubu Shadowserver, şu anda internete açık yaklaşık 10.000 Microsoft SharePoint sunucusu tespit etti. Bunlardan 800’den fazlasının CVE-2026-32201 ve CVE-2026-45659 güvenlik açıklarına karşı yamasız olduğu belirtiliyor. Ancak, CVE-2026-56164 açığına karşı kaç sunucunun savunmasız olduğu veya bunlardan kaçının bal küpü (honeypot) olduğu konusunda ayrıntılı bilgi bulunmuyor. Bu durum, kurumların güvenlik açıklarını hızla kapatması gerektiğini bir kez daha ortaya koyuyor.
CISA, güvenlik ekiplerine etkilenen sunucuları istismar belirtilerine karşı yakından izlemeleri ve Microsoft’un en son yamalarını uygulamaları, başarılı kurulumu doğrulamaları, yama döngülerini kısaltmaları, SharePoint web uygulamaları için Windows Antimalware Scan Interface (AMSI) entegrasyonunu etkinleştirmeleri ve Microsoft Defender Antivirus (MDAV) algılamalarını kullanarak tehlikeyi tespit edip gidermeleri çağrısında bulundu. Ayrıca, IIS makine anahtarlarını döndürmeden önce sızma artefaktlarının avlanması ve düzeltilmesi, anormal etkinlikleri izlemek için özel günlük kaydı oluşturulması, gerekli olmadıkça SharePoint sunucularının doğrudan internete maruz bırakılmaması ve Microsoft’un resmi SharePoint Server güvenlik sıkılaştırma kılavuzunun incelenmesi öneriliyor.
Ek olarak, SharePoint Central Administration’a harici erişimin engellenmesi, farm ve veritabanı iletişiminin yalnızca gerekli sistemlerle sınırlandırılması tavsiye ediliyor. Gerekli durumlarda, sunucuların bir Katman 7 ters proxy veya benzeri bir uygulama katmanı güvenlik kontrolünün arkasına yerleştirilmesi öneriliyor. CISA, bu üç aktif olarak istismar edilen güvenlik açığını 14 Nisan (CVE-2026-32201), 1 Temmuz (CVE-2026-45659) ve 14 Temmuz (CVE-2026-56164) tarihlerinde Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na eklemişti.
Önemli Gelişmeler
Federal kurumların, CVE-2026-56164’ten etkilenen SharePoint sunucularını 17 Temmuz’a kadar Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında güvence altına alması veya hafifletme önlemleri uygulanamıyorsa kullanımdan kaldırması gerekiyor. Kasım 2021’den bu yana CISA, saldırılarda istismar edilen 11 Microsoft SharePoint güvenlik açığını işaretledi; bunlardan 7’si ayrıca fidye yazılımı saldırılarında da kullanıldı. Bu veriler, SharePoint altyapısının sürekli güncel tutulmasının kritik önemini vurguluyor.
Kaynak: bleepingcomputer.com