Giriş
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), on-premise SharePoint Server yazılımlarında bulunan ve tehdit aktörleri tarafından aktif olarak istismar edilen üç kritik zafiyet hakkında acil bir uyarı yayınladı. Bu zafiyetler, SharePoint Server 2016, 2019 ve Subscription Edition sürümlerini etkilemektedir. Saldırganlar, bu zafiyetleri zincirleyerek güvenlik kontrollerini atlatmakta ve kurumsal ağlara yetkisiz erişim sağlamaktadır.
Zafiyet Detayları
Etkilenen Sürümler
Aşağıdaki SharePoint Server sürümleri zafiyetten etkilenmektedir:
- SharePoint Server 2016
- SharePoint Server 2019
- SharePoint Server Subscription Edition
Zafiyetlerin Türü ve Etkisi
CISA tarafından bildirilen üç zafiyet, aşağıdaki riskleri içermektedir:
- CVE-2023-29357: Yüksek önem derecesine sahip bir yetki yükseltme zafiyeti. Saldırganlar, bu zafiyeti kullanarak sistemde yönetici hakları elde edebilmektedir.
- CVE-2023-24955: Uzaktan kod yürütme (RCE) zafiyeti. Bu zafiyet, saldırganların sunucuda rastgele kod çalıştırmasına olanak tanımaktadır.
- CVE-2023-24956: Bilgi sızdırma zafiyeti. Saldırganlar, bu zafiyeti kullanarak hassas verileri elde edebilmektedir.
Saldırganlar, bu zafiyetleri bir zincir halinde kullanarak güvenlik kontrollerini atlatmakta ve kurumsal ağlara sızmaktadır. Bu saldırılar, kurumsal verilerin çalınması, fidye yazılımlarının dağıtılması veya diğer kötü amaçlı faaliyetlerin gerçekleştirilmesi için kullanılabilmektedir.
Risk Değerlendirmesi
Saldırının Karmaşıklığı
Bu saldırılar, orta düzeyde karmaşıklığa sahiptir. Saldırganlar, zafiyetleri zincirleyerek güvenlik kontrollerini atlatmakta ve kurumsal ağlara sızmaktadır. Bu nedenle, saldırıların tespit edilmesi ve engellenmesi zorlaşmaktadır.
Etkilenen Kuruluşlar
Bu zafiyetler, aşağıdaki kuruluşları etkilemektedir:
- SharePoint Server kullanan tüm kurumsal ağlar
- Hükümet kuruluşları
- Sağlık kuruluşları
- Eğitim kurumları
- Finansal kuruluşlar
Çözüm ve Önlemler
1. Güncellemelerin Uygulanması
CISA, etkilenen SharePoint Server sürümlerinin en son güvenlik güncellemeleriyle güncellenmesini önermektedir. Microsoft, bu zafiyetleri düzeltmek için aşağıdaki güncellemeleri yayınlamıştır:
- SharePoint Server 2016 için KB5002524
- SharePoint Server 2019 için KB5002525
- SharePoint Server Subscription Edition için KB5002526
Güncelleme Adımları:
- SharePoint Server sunucusunu yedekleyin.
- Aşağıdaki komutları kullanarak güncellemeleri indirin ve uygulayın:
# SharePoint Server 2016 için
Install-Package -Name KB5002524 -Force
# SharePoint Server 2019 için
Install-Package -Name KB5002525 -Force
# SharePoint Server Subscription Edition için
Install-Package -Name KB5002526 -Force
2. Güvenlik Duvarı Kuralları
SharePoint Server'a erişimi sınırlandırmak için aşağıdaki güvenlik duvarı kurallarını uygulayın:
- SharePoint Server'a yalnızca gerekli IP adreslerinden erişime izin verin.
- Aşağıdaki komutları kullanarak Windows Güvenlik Duvarı'nda kural oluşturun:
# SharePoint Server 2016, 2019 ve Subscription Edition için
New-NetFirewallRule -DisplayName "SharePoint Server Güvenlik" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow -RemoteAddress
3. Erişim Kontrollerinin Gözden Geçirilmesi
SharePoint Server'a erişim yetkilerini gözden geçirin ve gereksiz erişimleri kaldırın. Aşağıdaki adımları izleyin:
- SharePoint Yönetim Merkezi'ne giriş yapın.
- Site Yönetimi > Site Toplulukları > Kullanıcı Erişimi yolunu izleyin.
- Yetkileri gözden geçirin ve gereksiz erişimleri kaldırın.
4. Logların İzlenmesi
SharePoint Server üzerinde olağandışı aktiviteleri tespit etmek için logları izleyin. Aşağıdaki komutları kullanarak logları analiz edin:
# SharePoint loglarının konumunu bulun
Get-SPSite | Select-Object -ExpandProperty RootWeb | Select-Object -ExpandProperty AllWebs | ForEach-Object { $_.Url }
# Log dosyalarını analiz etmek için PowerShell kullanın
Get-Content "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\LOGS\*.log" | Select-String "Error" | Export-Csv -Path "C:\Logs\SharePoint_Errors.csv" -NoTypeInformation
İpuçları ve Uyarılar
Önemli Uyarı: Bu zafiyetler aktif olarak istismar edilmektedir. Lütfen mümkün olan en kısa sürede SharePoint Server'larınızı güncelleyin ve gerekli önlemleri alın. Aksi takdirde, kurumsal verileriniz tehlikeye girebilir.
İpucu: SharePoint Server'ınızı güncellerken, güncelleme işleminin tamamlandığından emin olun. Güncelleme sırasında oluşabilecek hataları önlemek için sunucunuzu yedekleyin ve gerekirse bir test ortamında güncellemeyi test edin.
Sonuç
CISA tarafından yayınlanan acil uyarı, SharePoint Server kullanıcılarının bu zafiyetlere karşı acil önlemler almasını gerektirmektedir. SharePoint Server'larınızı en son güvenlik güncellemeleriyle güncelleyerek, güvenlik kontrollerini güçlendirerek ve olağandışı aktiviteleri izleyerek kurumsal ağlarınızı koruyabilirsiniz. Unutmayın, bu zafiyetler aktif olarak istismar edilmektedir ve acil önlemler alınması gerekmektedir.
Daha fazla bilgi için Microsoft'un resmi güvenlik bültenini inceleyebilir ve CISA'nın uyarı sayfasını ziyaret edebilirsiniz.



