SharePoint RCE CVE-2026-45659 Aktif Kullanımdan Sonra CISA KEV'e Eklendi Siber Güvenlik

SharePoint RCE CVE-2026-45659 Aktif Kullanımdan Sonra CISA KEV'e Eklendi

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Çarşamba günü Microsoft SharePoint Server'ı etkileyen yüksek önemdeki bir kusuru, aktif istisma...

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Çarşamba günü Microsoft SharePoint Server'ı etkileyen yüksek önemdeki bir kusuru, aktif istismarın kanıtlarını öne sürerek Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.

CVE-2026-45659 (CVSS puanı: 8,8) olarak takip edilen güvenlik açığı, güvenilmeyen verilerin seri durumdan çıkarılmasından kaynaklanan bir uzaktan kod yürütme durumudur. Sorun Microsoft tarafından Mayıs 2026'da SharePoint Server Subscription Edition, SharePoint Server 2019 ve SharePoint Enterprise Server 2016 için giderildi.

Microsoft, kimliği doğrulanmış herhangi bir saldırganın güvenlik açığını tetikleyebileceğini ve bunun yönetici veya diğer yükseltilmiş ayrıcalıklara ihtiyaç duymadığını belirtti. Ağ tabanlı bir saldırıda, minimum Site Üyesi izinlerine (PR:L) sahip kimliği doğrulanmış bir saldırgan, SharePoint Sunucusunda uzaktan kod yürütmek için bundan yararlanabilir.

Teknik Analiz

CISA, "Microsoft SharePoint Server, yetkili bir saldırganın ağ üzerinden kod yürütmesine olanak tanıyan, güvenilmeyen verinin seri durumdan çıkarılması güvenlik açığını içeriyor" dedi.

Gelecekte Ne Bekleniyor?

Windows üreticisinin tavsiyesine göre kusur, "Kullanımın Daha Az Olasılığı" değerlendirmesiyle etiketlendi. Bu güvenlik açığından nasıl yararlanıldığı, etkinliğin arkasında kimin olduğu ve bu çabaların nihai hedeflerinin ne olduğu şu anda bilinmiyor.

Nasıl Önlem Alınmalı?

Aktif kullanımın ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının düzeltmeleri 4 Temmuz 2026'ya kadar uygulamaları tavsiye ediliyor.

Microsoft, 2 Kümeden Paralel Tehdit Etkinliğini Ortaya Çıkardı

Detaylar ve Etkileri

Geçen ayın sonlarında Microsoft, rutin bir fidye yazılımı araştırmasının, aynı ağ içinde aynı anda faaliyet gösteren ilgisiz iki saldırganın ortaya çıkarıldığını, bu arada kalıcı erişim sağlamak ve olay müdahale çabalarını karmaşıklaştırmak için kasıtlı teknikler benimsediğini ortaya çıkardı.

Saldırılardan biri, 2025'in ortasından bu yana şirket içi SharePoint sunucularındaki bilinen güvenlik açıklarından yararlanarak Warlock fidye yazılımını dağıtmasıyla bilinen bir tehdit aktörü olan Storm-2603'e atfedildi.

Önemli Gelişmeler

Microsoft, "Bu durumda, ilk erişim muhtemelen win.ini ve web.config gibi dosyalara yönelik isteklerle birlikte ayrı bir güvenlik açığı aracılığıyla denendi, bu da yerel dosya eklemenin araştırıldığını gösteriyor" dedi. Kanıtlar bunun Gladinet Triofox'u etkileyen kritik bir kusur olan CVE-2025-11371 (CVSS puanı: 9.1) olduğunu gösteriyor.

Sonuç ve Değerlendirme

İlk erişim elde edildikten sonra tehdit aktörünün, kötü amaçlı faaliyetleri güvenilir yönetim davranışıyla harmanlamak için Velociraptor gibi araçlar kullandığı ve ayrıca Cloudflare tüneli, Zoho Assist ve Visual Studio Code aracılığıyla yapılandırılmış Secure Shell (SSH) bağlantıları aracılığıyla birden fazla uzaktan erişim kanalı kurduğu söyleniyor.

Saldırı aynı zamanda yeni yerel ve etki alanı yönetici hesapları oluşturarak ayrıcalıkları yükseltirken, savunmasız bir sürücü ("NSecKrnl.sys") görünürlüğünü azaltmaya yardımcı olmak amacıyla uç nokta güvenlik korumalarında değişiklik yapmak için bir kanal görevi gördü.

Microsoft, bununla birlikte, DLL yan yüklemesi ve özel arka kapılar kullanarak aynı ortamda bir arada var olan ilgisiz ikinci bir tehdit aktörünün işaretlerini ortaya çıkardığını ve dolayısıyla ilişkilendirmeyi daha zorlu hale getirdiğini söyledi.

Uzmanların Görüşleri

Daha ileri araştırmalar, saldırganların ilk ağın ötesine geçerek ikinci bir kuruluşa doğru ilerlediklerini ortaya çıkardı; bu da, Storm-2603'e atfedilen aynı fidye yazılımı etkinliği tarafından ele geçirildiklerini doğruladı.

Microsoft Olay Müdahale ekibi, "Bu örtüşen etkinlik akışları bir arada, izinsiz girişin tüm kapsamını maskelerken sürekli erişimi mümkün kıldı" dedi. "Bilinen fidye yazılımı taktikleri ile gizli tekniklerin harmanlanması, tehdit aktörlerinin derin ve kalıcı erişim sağlamasına olanak sağladı."

"Tek bir fidye yazılımı olayı gibi görünen olay, hızla daha karmaşık organizasyonları kapsayan, taktikleri harmanlayan ve hatta paralel olarak çalışan birden fazla tehdit aktörünü kapsayan bir olaya dönüşebilir. Güvenlik ekipleri için bunun anlamı açıktır: yalıtılmış sinyaller nadiren hikayenin tamamını anlatır."

Paylaş: