Microsoft SharePoint'te Kritik Güvenlik Açığı: Saldırılar Başladı Yazılım

Microsoft SharePoint'te Kritik Güvenlik Açığı: Saldırılar Başladı

Microsoft SharePoint'teki kritik RCE açığı (CVE-2026-58644) yayınlandıktan kısa süre sonra istismar edilmeye başlandı.

Microsoft SharePoint'te keşfedilen kritik bir güvenlik açığı, yamalanmasının üzerinden çok geçmeden saldırganlar tarafından aktif olarak kullanılmaya başlandı. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açığın vahşi ortamda istismar edildiğini doğruladı. CVE-2026-58644 koduyla izlenen ve 9.8 gibi yüksek bir CVSS puanına sahip olan bu güvenlik açığı, Microsoft'un Temmuz 2026 Patch Tuesday güncellemelerinde kapatılmıştı. Güvenlik açığı, güvenilmeyen verilerin serileştirilmesi (deserialization) sorunundan kaynaklanıyor ve bir saldırganın kimliği doğrulanmış bir Site Owner olması durumunda, SharePoint sunucusunda uzaktan kod yürütmesine olanak tanıyor.

Microsoft'un yaptığı açıklamaya göre, ağ tabanlı bir saldırıda, en az Site Owner yetkisine sahip bir saldırgan, SharePoint sunucusuna rastgele kod yazabilir ve bu kodu uzaktan çalıştırabilir. Bu durum, özellikle kurumsal ortamlarda büyük bir risk oluşturuyor. CVE-2026-58644, başlangıçta istismar edilmiş olarak işaretlenmemiş olsa da, Microsoft daha sonra güvenlik danışma belgesini güncelleyerek istismar tespit edildiğini ve CVSS puanını güncelledi. Bu, güvenlik açığının ciddiyetini ve aciliyetini bir kez daha gözler önüne seriyor.

Microsoft'un Temmuz 2026 güncellemeleri, SharePoint'teki diğer birçok güvenlik açığını da giderdi. Bunlar arasında, sıfırıncı gün (zero-day) olarak vahşi ortamda istismar edildiği tespit edilen CVE-2026-56164 ve kritik bir güvenlik atlatma (security bypass) zafiyeti olan CVE-2026-55040 da yer alıyor. CVE-2026-55040, saldırganların dosyaları ifşa etmesine ve verileri değiştirmesine olanak tanıyordu. Bu açıklar, SharePoint kullanan kuruluşlar için ciddi bir tehdit oluşturuyor.

Nasıl Önlem Alınmalı?

CISA, bu SharePoint güvenlik açıklarına ilişkin uyarısından iki gün sonra, CVE-2026-58644'ü Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Ajans, federal kurumların BOD 26-04 yönergesi kapsamında bu açığı üç gün içinde yamalamasını zorunlu kıldı. Bu, güvenlik açığının ne kadar kritik olduğunu ve acil müdahale gerektirdiğini gösteriyor. Ayrıca CISA, Fortinet FortiSandbox ürünündeki iki işletim sistemi komut enjeksiyonu güvenlik açığını da (CVE-2026-25089 ve CVE-2026-39808) KEV listesine ekledi.

Sistem Güvenliği

Fortinet FortiSandbox'taki bu açıklar, Haziran ve Nisan aylarında yamalanmıştı. Her iki güvenlik açığı da saldırganların savunmasız cihazlarda rastgele kod veya komut yürütmesine olanak tanıyor. Haziran ortasında, istihbarat şirketi Defused, her iki açığın da vahşi ortamda istismar edildiğini belirlemişti. BOD 26-04 uyarınca federal kurumların, bu üç istismar edilen güvenlik açığını da üç gün içinde yamalaması gerekiyor.

Bu gelişmeler, kurumsal yazılımlardaki güvenlik açıklarının hızla istismar edildiğini ve kuruluşların yama yönetimi süreçlerini ne kadar ciddiye alması gerektiğini bir kez daha hatırlatıyor. Özellikle SharePoint gibi yaygın kullanılan platformlardaki kritik açıklar, saldırganlar için cazip hedefler oluşturuyor. Kuruluşların, Microsoft'un güncellemelerini mümkün olan en kısa sürede uygulaması ve ağlarında anormal etkinlikleri izlemesi hayati önem taşıyor.

Sonuç olarak, CVE-2026-58644 gibi kritik güvenlik açıklarının hızlıca istismar edilmesi, siber güvenlik ekiplerinin proaktif bir yaklaşım benimsemesini gerektiriyor. Yama yönetimi, tehdit istihbaratı ve sürekli izleme, bu tür saldırılara karşı en etkili savunma yöntemleridir. CISA'nın KEV kataloğuna eklediği açıklar, öncelikli olarak ele alınmalı ve gerekli düzeltici önlemler derhal uygulanmalıdır.

Kaynak: securityweek.com

Paylaş: