Giriş
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), siber saldırıların aktif olarak üç güvenlik açığını hedef aldığını duyurdu. Bu durum, Internet üzerinden erişilebilir olan kurumsal SharePoint Server instance’larının güvenliğini riske atmaktadır.
Saldırı Nasıl Çalışıyor?
CISA’nın belirttiği güvenlik açıkları, CVE-2026-32201 , CVE-2026-45659 ve CVE-2026-56164 şeklinde izlenmektedir. Bu açıklar, tüm desteklenen kendi barındırılan SharePoint Server versiyonlarını, özellikle de son sürüm olan SharePoint Server Subscription Edition ‘ı etkilemektedir.
Bu güvenlik açıkları, aşağıdaki saldırı türlerine olanak tanımaktadır:
- Kimlik doğrulamasını atlatma
- Uzaktan kod çalıştırma
- Post-exploitation faaliyetleri, örneğin Internet Information Services (IIS) makine anahtarlarının çalınması ve kötü amaçlı yazılım dağıtımı için istikrarlı bir erişim sağlama.
Etkilenen Sistemler
CISA, ayrıca CVE-2026-55040 ve CVE-2026-58644 kodlu iki güvenlik açığını da bildirmiştir. Microsoft, bu güvenlik açıklarını yamanmış olsa da, henüz suistimal edilmediği bilinmektedir. Shadowserver grubu şu anda nearly 10,000 adet Internet üzerinden erişilebilen Microsoft SharePoint sunucusunu takip etmektedir ve bunlardan 800’ünden fazlasının CVE-2026-32201 ve CVE-2026-45659 açıklarına karşı yamanmamış olduğu tespit edilmiştir.
Çözüm ve Korunma
CISA, güvenlik ekiplerinin aşağıdaki önlemleri almasını önermektedir:
- Etki altındaki sunucuları suistimal belirtileri açısından yakından izlemek.
- Microsoft’un en son yamalarını uygulamak ve başarılı bir şekilde yüklendiklerini doğrulamak.
- Patching döngülerini kısaltmak.
- Windows Antimalware Scan Interface (AMSI) entegrasyonunu etkinleştirmek ve Microsoft Defender Antivirus (MDAV) ile tehditleri tespit etmek.
- Olası Giriş izlerini araştırmak ve temizlemek.
- SharePoint sunucularının doğrudan Internet erişimini yalnızca gerekli durumlarda sağlamak ve uygun sistemlerle sınırlamak.
- Gerekirse sunucuları bir Layer 7 ters proxy arkasına yerleştirmek.
CISA, bu açıklanan açıkları Koruma Altına Alınmış Bilinen Güvenlik Açıkları Kataloğu’na ekledi. Federal ajansların, CVE-2026-56164 ile etkilenen SharePoint sunucularını güvence altına almak için 17 Temmuz’a kadar süreleri bulunmaktadır.
Sonuç
Kullanıcılar, etkilenen SharePoint Server instance’larını güncellemeli ve portları kapatarak güvenliklerini artırmalıdır. Ayrıca, sistemlerini düzenli olarak izleyip kontrol etmeli ve gerekli önlemleri gecikmeden uygulamalıdır.


