Giriş
2024 yılının Mayıs ayında Microsoft tarafından yayımlanan ve yüksek önem derecesine sahip olan CVE-2024-30044 olarak adlandırılan SharePoint uzaktan kod yürütme (RCE) zafiyeti, artık aktif saldırılarda kullanılmaya başlanmıştır. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayımlanan güvenlik uyarısında, saldırganların bu zafiyeti exploit ederek hedef sistemlere yetkisiz erişim sağladığı bildirilmektedir. SharePoint, kurumsal düzeyde yaygın olarak kullanılan bir içerik yönetim ve işbirliği platformu olduğundan, bu zafiyetin yaygınlığı ve etkisi oldukça yüksektir.
Zafiyetin Tanımı ve Etkileri
Zafiyetin Teknik Detayları
CVE-2024-30044, SharePoint'in Microsoft.SharePoint.dll bileşeninde bulunan bir bellek bozulması zafiyetidir. Saldırganlar, özellikle SharePoint'in web arayüzüne gönderilen özel olarak hazırlanmış bir HTTP isteği aracılığıyla, hedef sistemde yetkisiz kod çalıştırmayı başarabilmektedir. Bu zafiyet, uzaktan erişim yoluyla exploit edilebildiği için, saldırganların yerel ağa dahi bağlı olmaları gerekmez. Saldırı senaryosunda, kullanıcıların herhangi bir eylemi (örneğin, bir belgeye tıklamak) gerekli değildir; zafiyet, sadece hedef sunucunun erişilebilir olması durumunda exploit edilebilir.
Potansiyel Etkiler
Bu zafiyetin exploit edilmesi durumunda aşağıdaki riskler ortaya çıkabilir:
- Yetkisiz Veri Erişimi: Saldırganlar, SharePoint'te depolanan hassas verileri (finansal raporlar, müşteri bilgileri, ticari sırlar) okuyabilir.
- Veri Silme veya Değiştirme: Kurumsal veriler silinebilir, değiştirilebilir veya şifrelenerek fidye saldırılarına maruz kalabilir.
- İç Ağda Yatay Hareketlilik: Saldırganlar, SharePoint sunucusunu bir köprü olarak kullanarak iç ağdaki diğer sistemlere sızabilir.
- Yasal ve Finansal Yükümlülükler: Veri ihlali durumunda şirketler, yasal yaptırımlar ve itibar kaybı ile karşı karşıya kalabilir.
Uyarı: Bu zafiyet, özellikle SharePoint Server 2019, SharePoint Subscription Edition ve SharePoint 2013 gibi eski sürümleri kullanan sistemlerde daha yaygın olarak görülmektedir. Eski sistemlerin yamalanmamış olması, saldırı riskini önemli ölçüde artırmaktadır.
Çözüm Adımları
1. Acil Yama Uygulama
Microsoft, bu zafiyeti Mayıs 2024 ayında yayımladığı güvenlik güncellemesi ile düzeltmiştir. Aşağıdaki adımları izleyerek yamayı uygulayabilirsiniz:
- Yama Kontrolü:
# SharePoint Server'da yüklü yamaları kontrol etmek için PowerShell kullanın Get-HotFix -Id KB5005123 -ErrorAction SilentlyContinueEğer yama yüklenmemişse, aşağıdaki komutla manuel olarak yükleyin:
Install-Module -Name PSWindowsUpdate -Force Install-WindowsUpdate -KBArticleID KB5005123 -AcceptAll -AutoReboot - SharePoint Farm'da Yama Dağıtımı: Eğer SharePoint bir farm (çiftlik) yapısında çalışıyorsa, yamayı tüm sunuculara aşağıdaki komutlarla dağıtın:
# SharePoint farm'daki tüm sunuculara yamayı uygulayın Add-PSSnapin Microsoft.SharePoint.PowerShell -ErrorAction SilentlyContinue Install-SPFeature -Path "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\FEATURES\" -Force - Yama Sonrası Kontrol: Yama uygulandıktan sonra, aşağıdaki komutla SharePoint hizmetlerinin yeniden başlatıldığından emin olun:
Restart-Service -Name SPSearchHostController, SPTimerV4, SPTraceService
2. Geçici Çözümler (Yama Uygulanana Kadar)
Yama uygulanana kadar aşağıdaki geçici önlemleri alabilirsiniz:
- SharePoint'e Erişimi Kısıtlayın: SharePoint'e erişimi yalnızca güvenilir IP adreslerinden yapılmasını sağlayın. Bu işlem için Windows Defender Firewall veya SharePoint'in yerleşik güvenlik duvarı kullanılabilir.
# Windows Defender Firewall üzerinden SharePoint'e erişimi kısıtlayın New-NetFirewallRule -DisplayName "Block SharePoint RCE" -Direction Inbound -RemoteAddress [GÜVENİLİR_IP_ADRESLERİ] -Action Block -Enabled True - Web Uygulama Güvenlik Duvarı (WAF) Kurulumu: SharePoint'in önüne bir WAF yerleştirerek, exploit girişimlerini engelleyebilirsiniz. Örneğin, ModSecurity veya Cloudflare WAF kullanılabilir.
# ModSecurity için özel kural ekleyin (CVE-2024-30044'e karşı) SecRule REQUEST_FILENAME "@contains /_vti_bin/" "id:1001,phase:1,t:none,deny,status:403" - SharePoint Hizmetlerini Durdurun: Eğer acil durumda SharePoint'e ihtiyaç yoksa, aşağıdaki komutla hizmetleri geçici olarak durdurabilirsiniz:
Stop-Service -Name SPSearchHostController, SPTimerV4, SPTraceService -Force
İpucu: Geçici çözümler, saldırı riskini azaltır ancak zafiyeti tamamen ortadan kaldırmaz. En kısa sürede yama uygulaması yapılmalıdır.
3. Saldırı Tespiti ve Log İncelemesi
Saldırı girişimlerini tespit etmek için SharePoint loglarını ve Windows olay günlüklerini düzenli olarak inceleyin. Aşağıdaki komutlarla logları sorgulayabilirsiniz:
- SharePoint Loglarını Kontrol Edin:
# SharePoint loglarını görüntüleyin Get-SPLogEvent -StartTime (Get-Date).AddHours(-24) | Where-Object { $_.Level -eq "Error" -or $_.Level -eq "Critical" } - Windows Olay Günlüklerini İnceleyin:
# Windows Security log'larında SharePoint'e ait saldırı girişimlerini arayın Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} | Where-Object { $_.Message -like "*SharePoint*" } - IDS/IPS Sistemlerini Devreye Alın: Ağ trafiğini izleyerek, exploit girişimlerini otomatik olarak engelleyen sistemler (örneğin, Snort veya Suricata) kullanın.
# Snort için kural örneği (CVE-2024-30044'e karşı) alert tcp any any -> $HOME_NET 443 (msg:"Possible SharePoint RCE Exploit"; content:"POST /_vti_bin/"; nocase; sid:1000001; rev:1;)
Önleyici Tedbirler
1. Düzenli Güvenlik Denetimleri
SharePoint ortamınızı düzenli olarak güvenlik denetiminden geçirin. Aşağıdaki adımları izleyin:
- SharePoint Health Analyzer'ı Çalıştırın:
# SharePoint Health Analyzer'ı çalıştırın Start-SPAdminJob -JobId (Get-SPTimerJob | Where-Object { $_.Name -eq "Health Analysis Job" }).Id - Üçüncü Parti Denetim Araçları Kullanın: Nessus, Qualys veya OpenVAS gibi araçlarla SharePoint'in güvenlik açıklarını taramak.
# Nessus ile tarama örneği nessuscli scan new --targets="sharepoint.example.com" --policy="Basic Network Scan"
2. En İyi Uygulamalar
- SharePoint'i En Son Sürüme Güncelleyin: Eski SharePoint sürümlerini kullanmaktan kaçının. SharePoint 2019 veya Subscription Edition gibi desteklenen sürümleri tercih edin.
- Kullanıcı Hesaplarını Kısıtlayın: SharePoint'e erişimi yalnızca gerekli kullanıcılarla sınırlayın. En az ayrıcalık ilkesi uygulayın.
- Çok Faktörlü Kimlik Doğrulama (MFA) Etkinleştirin: SharePoint'e erişimde MFA kullanarak, hesapların ele geçirilmesini engelleyin.
# SharePoint'te MFA'yı etkinleştirin (Azure AD ile entegrasyon gereklidir) Set-MsolCompanySettings -StrongPasswordRequired $true - Veri Yedeklemesi ve Felaket Kurtarma Planı: SharePoint verilerini düzenli olarak yedekleyin ve felaket kurtarma planları oluşturun. Azure Backup veya SharePoint'in yerleşik yedekleme araçları kullanılabilir.
# SharePoint yedeklemesi için PowerShell komutu Backup-SPFarm -Directory "C:\Backups" -BackupMethod Full -Item "Farm" -Force - Yamayı en kısa sürede uygulayın.
- Geçici çözümler kullanarak saldırı riskini azaltın.
- Saldırı girişimlerini tespit etmek için logları düzenli olarak inceleyin.
- Düzenli güvenlik denetimleri ve en iyi uygulamaları uygulayın.
Sonuç
CVE-2024-30044 zafiyeti, SharePoint kullanıcılarını ciddi şekilde tehdit etmektedir. Acil yama uygulaması ve ek güvenlik önlemleri alınarak, bu zafiyetin exploit edilme riski önemli ölçüde azaltılabilir. SharePoint ortamınızı korumak için aşağıdaki adımları izleyin:
Bu adımlar, SharePoint ortamınızın güvenliğini sağlamak için kritik önem taşımaktadır. Unutmayın ki, güvenlik bir süreçtir ve sürekli olarak güncellenmelidir.



