Microsoft SharePoint keşfedilen ciddi güvenlik açığı, dünya genelinde çok sayıda kamu kurumu ve özel şirketin sistemlerini savunmasız hâle getirdi. Eye Security tarafından 18 Temmuz’da fark edilen bu açık, SharePoint’in şirket içi kurulumlarında saldırganlara yetkisiz erişim imkânı sunuyor. Microsoft ise bu gelişmeden yalnızca iki gün sonra açıklama yaparak aktif saldırıların sürdüğünü ve güvenlik ekibinin müdahale sürecinde olduğunu doğruladı. Açığın kaynağı henüz netleşmiş değil, ancak ortaya çıkan detaylar tehdidin oldukça karmaşık bir yapıya sahip olduğunu gösteriyor.
Saldırganların bu açıklıktan faydalanarak sadece verileri hedeflemediği, aynı zamanda kullanıcı kimliklerine bürünüp diğer sistemlere sızabildiği belirtiliyor. Bu, yalnızca SharePoint değil; ona bağlı çalışan Outlook, Teams ve OneDrive gibi hizmetlerin de etkilenebileceği anlamına geliyor. Özellikle kurum içi erişim ağlarının bütünlüğü açısından bu açık, zincirleme güvenlik sorunlarına neden olabilecek düzeyde. Microsoft’un sunduğu yamanın ardından dahi tehdit devam edebiliyor, çünkü sistemin daha önce ele geçirilmiş olması hâlâ bir risk oluşturuyor.
Microsoft SharePoint 2019 ve SE sürümleri için yamalar sunuldu
Microsoft SharePoint 2019 ve SharePoint Subscription Edition için yayımlanan güncellemeler, söz konusu açığı kapatmaya yönelik bir adım olarak sunulmuş durumda. Buna karşın SharePoint 2016 için hâlen bir güvenlik yaması geliştirilmiş değil. Bu sürümü kullanan kuruluşların, sistemlerini geçici olarak ağ dışına alması ya da yedekleme ve erişim kısıtlamaları gibi ek önlemler alması öneriliyor. Microsoft yetkilileri, ilgili sürüm için çalışmaların sürdüğünü belirtmekle birlikte net bir tarih vermekten kaçınıyor.
Bu güvenlik açığının temelinde, Pwn2Own 2024 yarışmasında gösterilen ve birleştirilerek saldırıya uygun hâle getirilen iki ayrı zafiyetin yer aldığı ifade ediliyor. Araştırmacılar, bu iki zafiyetin bir araya gelmesiyle saldırganların kimlik doğrulama sürecini tamamen atlayabildiğini belirtiyor. Üstelik saldırganlar sistem içerisine sızdıktan sonra yalnızca yetkisiz erişim değil, aynı zamanda sistemde kalıcı iz bırakmadan hareket edebilme yeteneğine de sahip oluyor. Böylece standart güvenlik kontrolleriyle tespiti oldukça güçleşiyor.
Güvenlik açığı, ABD merkezli çok sayıda kurumda etkisini göstermiş durumda. Washington Post’un güvenlik kaynaklarına dayandırdığı haberine göre, federal ve eyalet kurumlarının yanı sıra üniversiteler, enerji firmaları ve bir Asya telekom şirketi saldırılardan etkilenmiş durumda. Bu durum, açık kaynaklı sistemlerde bile SharePoint sunucularının yaygın şekilde kullanıldığını ve potansiyel saldırı yüzeyinin oldukça geniş olduğunu ortaya koyuyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), riskin büyüklüğüne dikkat çekerek tüm yerel sunucuların ağ bağlantısının kesilmesini öneriyor.
Bunun yanı sıra, bulut tabanlı SharePoint Online sistemlerinin bu güvenlik zafiyetinden etkilenmediği bilgisi paylaşıldı. Yani Microsoft’un kendi bulut altyapısı üzerinde barındırılan sürümler bu tehditten korunuyor. Yine de, şirket içi kurulum yapan kuruluşların sayısının hâlâ yüksek olması, açığın ne denli geniş bir etki alanına sahip olduğunu gözler önüne seriyor. Özellikle büyük ölçekli şirketlerde kullanılan hibrit sistemlerde bu tür açıklar, çok daha karmaşık güvenlik sorunlarına neden olabiliyor.
Uzmanlar, bu tür sıfır gün açıklarının yalnızca teknik önlemlerle değil, aynı zamanda kullanıcı bilinci ve düzenli güncellemelerle bertaraf edilmesi gerektiğini vurguluyor. Çünkü benzer açıkların farklı bileşenler arasında nasıl zincirleme bir güvenlik riski yarattığı önceki saldırılarda da gözlemlendi. SharePoint gibi kurumsal yazılımların düzenli denetimden geçmesi ve dış bağlantıların sınırlanması, potansiyel tehditleri azaltmak açısından kritik. Bu bağlamda, olay yalnızca bir ürün açığı olmaktan çıkıp bütünsel BT güvenliği meselesine dönüşüyor.
Gelişmeler ışığında Microsoft’un kısa sürede SharePoint 2016 sürümü için de bir yama sunması bekleniyor. Fakat buna kadar geçen sürede, güvenlik uzmanlarının ağ trafiğini izlemeleri ve şüpheli etkinlikleri takip etmeleri öneriliyor. Özellikle sistem loglarının düzenli analizi, erken tespit açısından önem taşıyor. Ek olarak, saldırganların sistemde kalıcı arka kapılar bırakabileceği de göz önünde bulundurulmalı.
