Siber Güvenlik

SharePoint RCE: Kritik Güvenlik Açığı Neden Tehdit Saçıyor?

Microsoft SharePoint Server’da keşfedilen ve aktif olarak istismar edildiği belirlenen ciddi bir SharePoint güvenlik açığı, siber güvenlik dünyasında alarma neden oldu. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu uzaktan kod yürütme (RCE) zafiyetini kritik ‘Bilinen İstismar Edilen Güvenlik Açıkları’ (KEV) kataloğuna ekledi. Bu durum, kurumsal ağların karşı karşıya olduğu tehdidin boyutunu bir kez daha gözler önüne seriyor. Peki, bu zafiyetin detayları nelerdir ve işletmeler için ne anlama geliyor?

SharePoint’teki Uzaktan Kod Yürütme Tehlikesi

CVE-2026-45659 olarak izlenen bu güvenlik açığı, Microsoft SharePoint Server’ın Subscription Edition, SharePoint Server 2019 ve SharePoint Enterprise Server 2016 sürümlerini etkiliyor. CVSS puanı 8.8 ile yüksek derecede kritik olarak değerlendirilen bu zafiyet, güvenilmeyen verilerin seri durumdan çıkarılması (deserialization) sürecinden kaynaklanan bir uzaktan kod yürütme durumu yaratıyor. Microsoft, sorunu Mayıs 2026’da yayınladığı güncellemelerle gidermişti; ancak CISA’nın uyarısı, yamaların hızla uygulanmasının ne kadar elzem olduğunu ortaya koyuyor.

Bu saldırı için yetkili bir kullanıcının, hatta en az Site Üyesi izinlerine sahip (PR:L) sıradan bir hesap sahibinin bile yeterli olduğu belirtiliyor. Yani, yönetici ayrıcalıklarına sahip olmak gerekmiyor; bu da saldırı yüzeyini korkutucu derecede genişletiyor. Ağ tabanlı bir saldırıda, kimliği doğrulanmış bir saldırgan, SharePoint Sunucusu üzerinde uzaktan kod yürütme yeteneği kazanabiliyor. Bu, yalnızca sistem yöneticilerinin değil, her SharePoint kullanıcısının potansiyel bir zafiyet kaynağı haline gelebileceği anlamına gelmez mi?

CISA, bu zafiyetin aktif olarak istismar edildiğini vurgularken, Microsoft’un kendi değerlendirmesinde bu açığın ‘İstismar Edilme Olasılığı Daha Düşük’ olarak etiketlenmesi düşündürücü bir tezat oluşturuyor. Bu tür farklı değerlendirmeler, IT ekiplerinin risk önceliklendirmesi yaparken hangi kaynağa daha fazla ağırlık vermesi gerektiği sorusunu ortaya çıkarıyor. Türk şirketleri için SharePoint, kurum içi iş birliği ve belge yönetimi için vazgeçilmez bir araç. Bu nedenle, uluslararası güvenlik otoritelerinin uyarıları, Türkiye’deki işletmelerin siber güvenlik stratejilerini gözden geçirmeleri için somut bir çağrı niteliğinde.

Aktif olarak istismar edilen bir uzaktan kod yürütme zafiyeti, sistem yöneticilerine hızla yama uygulama ve ağlarını sürekli izleme yükümlülüğü getiriyor; aksi takdirde felaketle sonuçlanabilecek veri ihlalleri kapıda.

Storm-2603’ün Gölgesinde Paralel Saldırılar

Geçtiğimiz ayın sonlarında Microsoft, rutin bir fidye yazılımı soruşturması sırasında, aynı ağ içinde eş zamanlı olarak faaliyet gösteren ve birbiriyle ilgisiz iki farklı saldırgan kümesini tespit

Saldırgan kümelerinden biri, Storm-2603 olarak biliniyor. Bu tehdit aktörü, 2025 ortalarından bu yana şirket içi SharePoint sunucularındaki bilinen güvenlik açıklarını istismar ederek Warlock fidye yazılımı dağıtmasıyla tanınıyor. İlk erişimin muhtemelen ayrı bir güvenlik açığı üzerinden sağlandığı düşünülüyor. Saldırganlar, win.ini ve web.config gibi dosyalar için yapılan isteklerle yerel dosya ekleme (local file inclusion) denemeleri yapmışlar. Bu durum, genellikle sistem hakkında bilgi toplama ve daha derin erişim yolları arama sürecinin ilk adımıdır.

İlk erişimi kazandıktan sonra Storm-2603, kötü niyetli faaliyetlerini güvenilir idari davranışlarla harmanlamak için Velociraptor gibi araçları kullanmış. Ayrıca, Cloudflare tünelleme, Zoho Assist ve Visual Studio Code aracılığıyla yapılandırılmış Güvenli Kabuk (SSH) bağlantıları üzerinden birden fazla uzaktan erişim kanalı oluşturarak kalıcılığını güvence altına almış. Bu teknikler, geleneksel güvenlik kontrollerini atlatmada ve ağ içinde fark edilmeden kalmada oldukça etkili. Güvenlik ekiplerinin, sıradan görünen trafik içerisindeki anormallikleri tespit edebilmesi için gelişmiş izleme yeteneklerine sahip olması şart.

Sessiz İş Birlikçiler: İkinci Tehdit Aktörü ve Belirsizlikler

Storm-2603’ün yanında, Microsoft aynı ortamda ikinci, tamamen ilgisiz bir tehdit aktörünün varlığını da ortaya çıkardı. Bu ikinci grup, DLL side-loading tekniklerini ve özel arka kapıları kullanarak faaliyet göstermiş. DLL side-loading, meşru bir uygulamanın yüklenmesi sırasında kötü niyetli bir DLL dosyasını yüklemeye zorlayarak sistemde kalıcı erişim sağlayan sinsi bir yöntemdir. Bu durum, genellikle güvenlik yazılımları tarafından fark edilmesi zor olan bir persistans mekanizması sunar.

İki farklı saldırganın aynı ağda faaliyet göstermesi, olay müdahale ekipleri için devasa bir karmaşa yaratıyor. Saldırıların kimlere atfedileceği, hedeflerinin ne olduğu ve bu çabaların nihai amacı hakkında henüz net bir bilgi bulunmuyor. Bu belirsizlik, tespit ve müdahale süreçlerini daha da zorlaştırırken, şirketlerin çok katmanlı savunma stratejilerinin ne kadar hayati olduğunu gösteriyor. Bir ağda aynı anda iki ayrı saldırganın bulunması, güvenlik ekiplerinin adli analizlerini ve tehdit avcılıklarını iki kat daha karmaşık hale getiriyor. Bu tür senaryolar, Türk firmalarının da hazırlıklı olması gereken ileri düzey tehdit modellerini işaret ediyor. Tek bir güvenlik açığının bile domino etkisi yaratarak birden fazla tehdit aktörüne kapı aralayabileceği unutulmamalıdır.

Peki SharePoint Güvenlik Açığı ile Ne Yapmalısınız?

SharePoint sunucularındaki aktif olarak istismar edilen bu güvenlik açığı, kurumların acil adımlar atmasını gerektiriyor. Yönetici ayrıcalıkları gerektirmeyen bir uzaktan kod yürütme zafiyeti, potansiyel riskin ciddiyetini katlıyor. Federal Sivil Yürütme Organı (FCEB) kurumlarına verilen 4 Temmuz 2026 tarihine kadar düzeltmeleri uygulama tavsiyesi, Türk şirketleri için de bir yol haritası sunuyor.

Öncelikle, SharePoint Server Subscription Edition, SharePoint Server 2019 ve SharePoint Enterprise Server 2016 kullanan tüm kurumların Mayıs 2026’da yayınlanan güncellemeleri derhal uygulaması şarttır. Bu, en temel ve en etkili savunma adımıdır. Yamalar uygulandıktan sonra bile, sistemlerinizi sürekli izlemek, olağan dışı ağ trafiği veya yetkisiz erişim denemelerini tespit etmek hayati önem taşır. Kurum içi tüm SharePoint kullanıcılarının, özellikle Site Üyesi izinlerine sahip olanların dahi, en az ayrıcalık ilkesine göre yönetildiğinden emin olunmalı. Gereksiz erişimler, saldırganlar için birer davetiye niteliğindedir.

Siber güvenlik olay müdahale planlarınızı gözden geçirin ve bu tür çoklu tehdit senaryolarına karşı hazırlıklı olun. Düzenli güvenlik denetimleri ve penetrasyon testleri, bu tür zafiyetlerin keşfedilmesine ve giderilmesine yardımcı olabilir. Ayrıca, güvenlik ekiplerinizi bu tür karmaşık saldırı teknikleri – özellikle DLL side-loading ve çoklu uzaktan erişim kanalları – hakkında eğitin. Unutmayın, siber güvenlik sürekli bir süreçtir ve proaktif önlemler, reaktif müdahalelerden çok daha az maliyetlidir. Türk firmaları, bu tehdidi ciddiye alarak altyapılarını güçlendirmeli ve olası bir ihlalin önüne geçmek için tüm adımları atmalıdır.

Sık Sorulan Sorular

CVE-2026-45659 nedir ve hangi SharePoint sürümlerini etkiler?

Bu, Microsoft SharePoint Server'da yetkili bir kullanıcının uzaktan kod yürütmesine olanak tanıyan kritik bir güvenlik açığıdır. Subscription Edition, 2019 ve Enterprise Server 2016 sürümlerini etkiler.

Bu güvenlik açığı için yönetici ayrıcalıkları gerekli mi?

Hayır, saldırganın yönetici ayrıcalıklarına ihtiyacı yoktur. En az Site Üyesi izinlerine sahip bir kullanıcı bile bu zafiyeti istismar edebilir, bu da saldırı riskini artırır.

Kurumlar bu SharePoint güvenlik açığına karşı ne gibi önlemler almalı?

Kurumlar, Mayıs 2026'da yayınlanan yamaları derhal uygulamalı, sistemleri sürekli izlemeli, en az ayrıcalık ilkesini benimsemeli ve olay müdahale planlarını güncelleyerek siber güvenlik ekiplerini eğitmeli.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu