SharePoint’te Kritik RCE Açığı Aktif Olarak Kullanılıyor: CISA Uyardı Siber Güvenlik

SharePoint’te Kritik RCE Açığı Aktif Olarak Kullanılıyor: CISA Uyardı

CISA, Microsoft SharePoint Server’da aktif olarak istismar edilen kritik bir uzaktan kod yürütme açığını (CVE-2026-45659) KEV kataloğuna ekledi. Feder...

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Microsoft SharePoint Server’ı etkileyen yüksek önem dereceli bir güvenlik açığını, aktif istismar edildiğine dair kanıtlar nedeniyle Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. CVE-2026-45659 olarak izlenen ve CVSS puanı 8.8 olan bu açık, güvenilmeyen verilerin serileştirilmesinden kaynaklanan bir uzaktan kod yürütme (RCE) zafiyeti olarak tanımlanıyor. Microsoft, Mayıs 2026’da SharePoint Server Subscription Edition, SharePoint Server 2019 ve SharePoint Enterprise Server 2016 için bu sorunu gideren güncellemeler yayınladı.

Microsoft’un açıklamasına göre, kimliği doğrulanmış herhangi bir saldırgan, yönetici veya yüksek ayrıcalık gerektirmeden bu açığı tetikleyebiliyor. Ağ tabanlı bir saldırıda, en az Site Üyesi iznine (PR:L) sahip kimliği doğrulanmış bir saldırgan, SharePoint Server’da uzaktan kod çalıştırmak için bu zafiyeti kullanabiliyor. CISA, “Microsoft SharePoint Server, yetkili bir saldırganın ağ üzerinden kod çalıştırmasına olanak tanıyan, güvenilmeyen verilerin serileştirilmesi güvenlik açığı içeriyor” ifadelerini kullandı. Microsoft, bu açığı “İstismar Edilme Olasılığı Düşük” olarak değerlendirmiş olsa da, aktif istismar nedeniyle Federal Sivil Yürütme Organı (FCEB) kurumlarının 4 Temmuz 2026’ya kadar yamaları uygulaması tavsiye ediliyor.

Geçtiğimiz ay sonunda Microsoft, rutin bir fidye yazılımı soruşturması sırasında, aynı ağ içinde birbirinden bağımsız iki saldırganın eşzamanlı olarak faaliyet gösterdiğini ortaya çıkardı. Bunlardan biri, Storm-2603 olarak bilinen ve 2025 ortasından beri şirket içi SharePoint sunucularındaki bilinen güvenlik açıklarını kullanarak Warlock fidye yazılımını dağıtan bir tehdit aktörü. Microsoft, bu saldırganın Velociraptor gibi araçlar kullanarak kötü niyetli faaliyetleri güvenilir yönetici davranışıyla gizlediğini ve Cloudflare tüneli, Zoho Assist ve Visual Studio Code üzerinden SSH bağlantıları gibi birden fazla uzaktan erişim kanalı oluşturduğunu belirtti.

İkinci tehdit aktörünün ise aynı ortamda DLL side-loading ve özel arka kapılar kullanarak faaliyet gösterdiği tespit edildi. Microsoft Olay Müdahale ekibi, bu örtüşen faaliyet akışlarının, saldırganların derin ve kalıcı erişim kurmasına olanak sağladığını vurguladı. “Tek bir fidye yazılımı olayı gibi görünen şey, hızla daha karmaşık bir yapıya dönüşebilir; kuruluşlar arasında yayılabilir, taktikleri harmanlayabilir ve hatta paralel olarak çalışan birden fazla tehdit aktörünü içerebilir. Güvenlik ekipleri için çıkarım açıktır: izole sinyaller nadiren tüm hikayeyi anlatır.”

Paylaş: