ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Microsoft SharePoint Server'ı etkileyen yeni yamalanmış bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Bu kararla birlikte, Federal Sivil Yürütme Organı (FCEB) kurumlarının 19 Temmuz 2026'ya kadar gerekli düzeltmeleri uygulaması zorunlu hale getirildi. Söz konusu güvenlik açığı, CVE-2026-58644 (CVSS puanı: 9.8) olarak tanımlanan ve güvenilmeyen verilerin seri durumdan çıkarılmasına (deserialization) izin veren kritik düzeyde bir zafiyet. Bu açık, yetkisiz bir saldırganın uzaktan kod yürütmesine (RCE) olanak tanıyor.
Microsoft, bu hafta başında yayımladığı danışma belgesinde, ağ tabanlı bir saldırıda, en az Site Sahibi olarak kimlik doğrulaması yapmış bir saldırganın, SharePoint Sunucusu'na rastgele kod yazabileceğini ve bu kodu uzaktan çalıştırabileceğini belirtti. Redmond merkezli teknoloji devi, güvenlik açığının internet üzerinden uzaktan istismar edilebildiğini ve saldırı karmaşıklığının iki nedenden ötürü düşük olduğunu vurguladı: Saldırganın sisteme dair önemli bir ön bilgiye sahip olması gerekmiyor ve saldırgan, güvenlik açığı bulunan bileşene karşı yükü (payload) kullanarak tekrarlanabilir başarı elde edebiliyor.
Güvenlik açığı, aşağıdaki SharePoint sürümlerini etkiliyor: Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 ve Microsoft SharePoint Enterprise Server 2016. Bu zafiyet için yamalar, 14 Temmuz 2026'da yayımlanan Patch Tuesday güncellemeleriyle birlikte kullanıma sunuldu. Microsoft, daha sonra bültenini revize ederek CVE-2026-58644'ün vahşi ortamda istismar edildiğini, yani yamalar kullanıma sunulmadan önce bu açığın sıfır gün olarak silah haline getirildiğini açıkladı.
Sonuç ve Değerlendirme
CISA, daha önce de birden fazla SharePoint Server güvenlik açığının (CVE-2026-32201, CVE-2026-45659, CVE-2026-56164 ve CVE-2026-58644) aktif olarak istismar edildiği konusunda uyarıda bulunmuştu. Federal siber güvenlik denetim kurumu, bu açıkların, tehdit aktörlerinin şirket içi (on-premises) SharePoint örneklerine yetkisiz erişim sağlamasına olanak tanıdığını belirtti. "Bu güvenlik açıkları, desteklenen tüm şirket içi SharePoint Server sürümlerini (Subscription Edition, 2019 ve 2016) etkiliyor ve uzaktan kod yürütme (RCE) ile istismar sonrası faaliyetleri (Internet Information Services - IIS - makine anahtarlarını çalma ve seri durumdan çıkarma tekniklerini kullanma gibi) içeriyor. Bu faaliyetler, kalıcılık elde etmek ve kötü amaçlı yazılım dağıtmak için kullanılıyor," dedi CISA.
Detaylar ve Etkileri
CISA, tehdidi kontrol altına almak için aşağıdaki sağlamlaştırma önlemlerini sıraladı: Microsoft'tan en son yamaları ve güvenlik güncellemelerini uygulayın, başarıyla yüklendiklerini doğrulayın ve mümkün olduğunda yama döngülerini kısaltın. Her bir SharePoint web uygulaması için Antimalware Scan Interface (AMSI) entegrasyonunun etkinleştirildiğini doğrulayın. IIS makine anahtarlarını döndürmeden önce, makine anahtarı toplama araçları da dahil olmak üzere sızma eserlerini tarayın ve kaldırın; aksi takdirde anahtarların çalınma riski oluşur. İstismar faaliyetlerini tespit etmek ve izlemek için özel günlük mekanizmaları oluşturun. SharePoint Sunucularını gereksiz yere doğrudan internete maruz bırakmaktan kaçının. SharePoint Merkezi Yönetimi'ne (Central Administration) harici erişimi engelleyin, çiftlik ve veritabanı iletişimini yalnızca gerekli sistemlerle sınırlandırın ve Microsoft'un SharePoint Server güvenlik sağlamlaştırma kılavuzunu inceleyerek role özgü port, hizmet ve Web.config ayarlarını yapılandırın.
Aynı gün CISA, Fortinet FortiSandbox'ı etkileyen iki kritik güvenlik açığını (CVE-2026-25089 ve CVE-2026-39808) de aktif istismar raporlarının ardından KEV kataloğuna ekledi. Federal kurumların, örneklerini en son desteklenen sürümlere güncellemek için 19 Temmuz 2026'ya kadar süreleri bulunuyor. Bu gelişmeler, kuruluşların güvenlik açıklarını kapatmak için yama yönetimi süreçlerini hızlandırmaları ve özellikle SharePoint gibi kritik altyapı bileşenlerini korumak için proaktif önlemler almaları gerektiğini bir kez daha ortaya koyuyor.
Kaynak: thehackernews.com