CISA, 16 Temmuz 2026 itibarıyla SharePoint Server'ı hedef alan dört kritik güvenlik açığının aktif olarak istismar edildiğini duyurdu. CVE-2026-32201, CVE-2026-45659, CVE-2026-56164 ve CVE-2026-58644 kodlu bu açıklar, şirket içi SharePoint Server'ın tüm desteklenen sürümlerini (Subscription Edition, 2019 ve 2016) etkiliyor. Saldırganlar, bu zafiyetleri kullanarak yetkisiz erişim sağlıyor, uzaktan kod çalıştırma (RCE) gerçekleştiriyor ve IIS makine anahtarlarını çalarak kalıcılık elde ediyor. CISA, kuruluşları etkilenen sunucuları yakından izlemeye ve anormal aktiviteleri derhal raporlamaya çağırıyor.
Microsoft, bu açıklara ek olarak henüz istismar edilmemiş ancak yama yapılmazsa risk oluşturabilecek yeni bir CVE daha açıkladı. CISA, tüm kuruluşların güncellemeleri hemen uygulamasını ve yama döngülerini kısaltmasını öneriyor. Özellikle AMSI (Antimalware Scan Interface) entegrasyonunun her SharePoint web uygulamasında etkinleştirilmesi ve 'Full Mode' olarak yapılandırılması kritik önem taşıyor. Microsoft'un sağladığı AMSI algılama imzaları (Exploit:Script/SuspSignoutReqBody.A, Exploit:Script/ToolPaneAuthBypass.A, Exploit:Script/ToolPaneAuthBypass.C ve Backdoor:MSIL/LeakFang.A!dha) sayesinde olası saldırılar tespit edilebiliyor.
CISA'nın önerdiği güçlendirme adımları arasında, IIS makine anahtarlarının döndürülmesinden önce ortamda anahtar toplayıcıların aranması ve temizlenmesi yer alıyor. Ayrıca, ASP.NET view state güvenliği ve anahtar yönetimi için Microsoft'un en iyi uygulamalarının takip edilmesi gerekiyor. Kuruluşlar, anormal SharePoint işlemci etkinlikleri, web shell'ler ve makine anahtarı erişimlerini tespit etmek için özel günlük kaydı mekanizmaları oluşturmalı. CISA'nın olay günlüğü ve tehdit algılama en iyi uygulamaları bu konuda rehberlik sağlıyor.
Nasıl Önlem Alınmalı?
SharePoint sunucularının doğrudan internete açılmaması, ancak gerekli durumlarda Layer 7 ters proxy veya eşdeğer bir uygulama katmanı güvenlik kontrolü arkasına alınması öneriliyor. SharePoint Merkezi Yönetimi'ne harici erişim engellenmeli, farm ve veritabanı iletişimleri yalnızca gerekli sistemlerle sınırlandırılmalı. Microsoft'un rol bazlı port, hizmet ve Web.config ayarları rehberi takip edilmelidir. CISA, bu adımların saldırı yüzeyini önemli ölçüde azaltacağını belirtiyor.
CISA, bu açıkları Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na eklemiştir: CVE-2026-32201 (14 Nisan 2026), CVE-2026-45659 (1 Temmuz 2026), CVE-2026-56164 (14 Temmuz 2026) ve CVE-2026-58644 (16 Temmuz 2026). Kuruluşların bu açıkları öncelikli olarak ele alması ve güncellemeleri acilen uygulaması gerekiyor. Microsoft'un yayınladığı 'UPDATE: Microsoft Releases Guidance on Exploitation of SharePoint Vulnerabilities' başlıklı rehber detaylı bilgi sunuyor.
Kuruluşlar, herhangi bir anormal aktivite veya olayı CISA'ya 7/24 Operasyon Merkezi üzerinden ([email protected] veya 1-844-Say-CISA) bildirmelidir. CISA, bu uyarının güncellenebileceğini ve yeni rehberlik yayınlandıkça ek bilgi sağlanacağını belirtiyor. Unutmayın, proaktif güvenlik önlemleri ve sürekli izleme, SharePoint sunucularınızı bu tür kritik açıklara karşı korumanın en etkili yoludur.
Kaynak: cisa.gov