Microsoft SharePoint RCE Zafiyeti Aktif İstismarın Ardından CISA KEV Listesine Eklendi

Anasayfa » Microsoft SharePoint RCE Zafiyeti Aktif İstismarın Ardından CISA KEV Listesine Eklendi
Microsoft SharePoint RCE Zafiyeti Aktif İstismarın Ardından CISA KEV Listesine Eklendi

Microsoft SharePoint Server’da kritik bir uzaktan kod çalıştırma (RCE) açığı, aktif olarak istismar edilmesi sonrası ABD Siber Güvenlik ve Altyapı Güvencesi Ajansı’nın (CISA) Bilinen İstismar Edilen Zafiyetler (KEV) kataloğuna dahil edildi. CVE-2026-45659 koduyla takip edilen bu açıklık, güvenilmeyen verilerin deseralizasyonu nedeniyle ortaya çıkıyor ve CVSS puanı 8.8 olarak değerlendiriliyor.

Hangi Sistemler ve Kullanıcılar Risk Altında?

Mayıs 2026’da yayımlanan düzeltmeler, SharePoint Server Subscription Edition, SharePoint Server 2019 ve SharePoint Enterprise Server 2016 sürümlerini kapsıyor. Microsoft’un açıklamasına göre, zafiyetten faydalanmak için yönetici yetkisi gerekmiyor; herhangi bir doğrulanmış kullanıcı, minimum Site Üyesi izinleriyle bile ağ üzerinden kötü amaçlı kod çalıştırabiliyor.

CISA, “Microsoft SharePoint Server’da yer alan deseralizasyon açığı, yetkili bir kullanıcının ağ üzerinden kod çalıştırmasına olanak tanıyor” ifadeleriyle durumu özetliyor. Şu an için bu açığın hangi yöntemlerle, kimler tarafından ve ne amaçla kullanıldığına dair net bilgiler bulunmuyor. Ancak, aktif istismar riskine karşı Federal Sivil İcra Daireleri’nin (FCEB) 4 Temmuz 2026 tarihine kadar yamaları uygulaması öneriliyor.

İki Farklı Saldırgan Aynı Ağda

Geçtiğimiz ay ortaya çıkan bir ransomware incelemesi sırasında, aynı ağda eş zamanlı faaliyet gösteren iki bağımsız tehdit aktörü tespit edildi. Bu saldırganlar, kalıcı erişim sağlamak ve müdahale süreçlerini zorlaştırmak için bilinçli olarak farklı teknikler kullandı.

İlk gruba Storm-2603 adı verildi; bu aktör, 2025 ortalarından beri yerel SharePoint sunucularındaki bilinen açıkları kullanarak Warlock fidye yazılımını yayımlıyor. Başlangıç erişimi, farklı bir zafiyet üzerinden sağlanmış olabilir. Özellikle win.ini ve web.config gibi dosyalar için ağ istekleri, yerel dosya dahil etme (LFI) denemelerine işaret ediyor. Analizler, CVE-2025-11371 (CVSS: 9.1) kodlu Gladinet Triofox açığının burada kullanıldığına işaret ediyor.

İlk erişimin ardından, saldırgan Velociraptor gibi araçlarla kötü niyetli aktiviteleri yöneticilerin davranışlarıyla karıştırdı ve Cloudflare tünelleme, Zoho Assist ve Visual Studio Code üzerinden yapılandırılan SSH bağlantılarıyla birden fazla uzak erişim kanalı oluşturdu. Ayrıcalık yükseltme için yeni yerel ve alan yöneticisi hesapları yaratıldı. Ayrıca, “NSecKrnl.sys” adlı zayıf sürücü yardımıyla uç nokta güvenlik önlemleri devre dışı bırakılarak saldırganların görünürlüğü azaltıldı.

Microsoft ayrıca, aynı ortamda DLL yan yükleme (side-loading) ve özel arka kapılar kullanarak faaliyet gösteren ikinci bir tehdit aktörünün izlerine rastladı. Bu durum, saldırıların tespitini ve sorumluların belirlenmesini zorlaştırıyor. Daha da önemlisi, saldırganların farklı bir kuruma yatay hareketle geçtiği ve Storm-2603’ün fidye yazılımı faaliyetlerinin bu yeni ortamda da devam ettiği belirlendi.

Saldırı Zinciri ve Teknik Özet

Bu karmaşık saldırı senaryosu, bilinen fidye yazılımı taktikleriyle gizli yöntemlerin karışımını içeriyor. Bu da kalıcı erişim sağlanırken ihlal kapsamının maskelemesini mümkün kılıyor. Böylece, tek bir ransomware olayı gibi görünen saldırılar, aslında birden çok aktörün koordinasyonuyla gerçekleşebiliyor.

  • Kullanılan araçlar: Velociraptor, Cloudflare tünelleme, Zoho Assist, Visual Studio Code üzerinden SSH
  • Hedefler: On-premises SharePoint sunucuları ve bağlı ağlar
  • Zafiyetler: CVE-2026-45659 SharePoint RCE, CVE-2025-11371 Gladinet Triofox
  • Saldırı zinciri: İlk erişim (LFI araması ve zafiyet kullanımı) → kalıcı erişim kurulumu → ayrıcalık yükseltme → lateral hareket
  • Önerilen savunma: Yamaların zamanında uygulanması, ağ segmentasyonu, EDR ve SIEM sistemleri ile anomali tespiti, güçlü kimlik ve erişim yönetimi (IAM), çok faktörlü kimlik doğrulama (MFA)

Siber Güvenlik Ekiplerine Pratik Öneriler

1. SharePoint sunucularını en güncel yamalarla güncel tutun.

2. Ağ trafiğini sürekli izleyerek, olağan dışı dosya isteklerini kaydedin.

3. Velociraptor gibi araçların kullanımına karşı anormal davranışları takip edin.

4. Uzak erişim kanallarını düzenli olarak gözden geçirin ve sadece gerekli olanları açık bırakın.

5. Zayıf sürücüler ve imzalanmamış bileşenler için sıkı kontrol mekanizmaları kurun.

6. Farklı tehdit aktörlerinin varlığına karşı kapsamlı bir olay müdahale planı oluşturun.