Microsoft SharePoint’teki Kritik Zero-Day Güvenlik Açığı CISA’nın KEV Listesine Eklendi

Anasayfa » Microsoft SharePoint’teki Kritik Zero-Day Güvenlik Açığı CISA’nın KEV Listesine Eklendi
Microsoft SharePoint’teki Kritik Zero-Day Güvenlik Açığı CISA’nın KEV Listesine Eklendi

Amerikan Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Microsoft SharePoint Server’da tespit edilen ve yakın zamanda yamanan kritik bir uzaktan kod yürütme (RCE) güvenlik açığını Known Exploited Vulnerabilities (KEV) kataloguna ekledi. Bu adım, kamu kurumlarına 19 Temmuz 2026 tarihine kadar gerekli yamaları uygulama zorunluluğu getiriyor.

Hangi Güvenlik Açığından Bahsediyoruz?

Söz konusu zafiyet CVE-2026-58644 koduyla kayıtlı ve CVSS puanı 9.8 olan kritik bir deserialization (güvenilmeyen verinin nesneye dönüştürülmesi) açığı. Bu zafiyet, yetkisiz kişilerin SharePoint Server üzerinde kötü amaçlı kod çalıştırmasına imkan tanıyor. Microsoft, saldırganın en az Site Owner yetkisiyle sisteme giriş yapması durumunda, uzaktan rastgele kod enjekte edip çalıştırabileceğini belirtti.

Şirket ayrıca, zafiyetin uzaktan ve internet üzerinden istismar edilebildiğine dikkat çekti. Saldırının karmaşıklığı düşük; çünkü saldırgan sistem hakkında derin teknik bilgiye sahip olmak zorunda değil ve aynı kötü amaçlı kodu defalarca çalıştırarak başarı sağlayabiliyor.

Risk Altındaki Sürümler

Bu güvenlik açığı aşağıdaki SharePoint Server sürümlerini etkiliyor:

  • Microsoft SharePoint Server Subscription Edition
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Enterprise Server 2016

Temmuz 2026 Patch Tuesday güncellemeleriyle zafiyet yamalandı. Ancak Microsoft, CVE-2026-58644’ün yamalar çıkmadan önce aktif olarak istismar edildiğini belirten bir güncelleme yayınladı. Bu da açığın sıfırıncı gün (zero-day) saldırılarında kullanıldığı anlamına geliyor.

SharePoint Sunucularında Artan Tehlike

CISA, aynı zamanda CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164 gibi başka SharePoint Server zafiyetlerinin de kötüye kullanıldığına dair uyarıda bulundu. Bu açıklamalar, özellikle kurum içi SharePoint kurulumlarının hedef alındığını gösteriyor. Zafiyetler sayesinde saldırganlar, sunucu üzerinde kalıcı erişim sağlayabiliyor, IIS makine anahtarlarını çalabiliyor ve zararlı yazılım yükleyebiliyor.

Kurumlar Nasıl Önlem Almalı?

Federal kurumlar ve SharePoint altyapısını yönetenler için CISA bazı kritik önerilerde bulundu. Öncelikle, en güncel yamalar mutlaka uygulanmalı ve kurulumlarının başarılı olduğundan emin olunmalı. Antimalware Scan Interface (AMSI) entegrasyonu etkinleştirilmeli ve sunucu üzerinde zararlı yazılım izleri taranarak temizlenmeli. IIS makine anahtarları değiştirilmeden önce saldırı izlerinin kaldırılması, anahtar hırsızlığını önlemek için önemli bir adım olarak öne çıkıyor.

Paylaşılan ağ ortamları için özel loglama sistemleri kurulması ve istismar girişimlerinin düzenli takibi kritik. Ayrıca SharePoint sunucuları mümkünse doğrudan internete açılmamalı; erişim sınırlandırmaları, firewall kuralları ve rol bazlı erişim kontrolleri gözden geçirilmeli. Merkezi yönetim panellerine dış erişim engellenmeli, sadece gerekli sistemler arasında iletişim izinleri tanımlanmalı.

Fortinet FortiSandbox Zafiyetleri de KEV’de

Aynı hafta içinde CISA, Fortinet FortiSandbox ürününde tespit edilen iki kritik güvenlik açığını (CVE-2026-25089 ve CVE-2026-39808) da KEV listesine ekledi. Bu zafiyetlerin de aktif olarak istismar edildiği bildirildi; ilgili kurumlar için güncelleme süresi yine 19 Temmuz 2026 olarak belirlendi.

Teknik Özet

  • Hedef sistemler: SharePoint Server Subscription Edition, 2019, 2016 sürümleri
  • Kritik zafiyet: CVE-2026-58644 (deserialization kaynaklı RCE)
  • İstismar şekli: Saldırgan en az Site Owner yetkisiyle uzaktan kod enjekte ediyor
  • Saldırı zinciri: Yetkili kullanıcı hesabı elde etme → kötü amaçlı payload çalıştırma → kalıcı erişim sağlama → IIS makine anahtarlarını çalma → zararlı yazılım dağıtımı
  • Önerilen savunma: Yama uygulama, AMSI etkinleştirme, loglama ve saldırı tespiti, erişim kısıtlamaları

Uygulamalı Kontrol Listesi

1. SharePoint ve Fortinet ürünleri için yayımlanan son yamaları derhal kurun.
2. Antimalware Scan Interface (AMSI) entegrasyonunun aktif olduğundan emin olun.
3. Sunucularda düzenli malware taraması yapın, saldırı izlerini temizleyin.
4. IIS makine anahtarlarını, saldırı kanıtları temizlendikten sonra değiştirin.
5. SharePoint Central Administration erişimlerini dışardan engelleyin.
6. Ağ segmentasyonu ile sadece gerekli sistemlerin iletişimine izin verin.
7. Detaylı olay kaydı tutarak anormallikleri izleyin.
8. Güçlü erişim kontrolleri ve çok faktörlü kimlik doğrulama (MFA) kullanın.

Bu gelişmeler, özellikle kurumsal altyapılarda e-posta güvenliği, ağ segmentasyonu ve olay müdahale süreçlerinin önemini bir kez daha ortaya koyuyor. SharePoint gibi kritik platformlar hedef alındığında, kapsamlı güvenlik stratejileri ve hızlı müdahale süreçleri hayati önem taşıyor.