14 Nisan 2026'da Microsoft, tarihinin en büyük ikinci Patch Tuesday güncellemesiyle 163 güvenlik açığını kapattı. Bu açıklar arasında en kritik olanı, CVE-2026-32201 olarak takip edilen Microsoft SharePoint Server kimlik sahteciliği (spoofing) açığıdır. Açık, resmi yama yayımlanmadan önce saldırganlar tarafından aktif olarak istismar edilmiş; bu durum onu klasik bir güvenlik güncellemesinden çok daha tehlikeli bir sıfır gün tehdidine dönüştürmüştür.
CVSS skoru 6.5 ile "Orta" olarak etiketlenmesine karşın açığın gerçek tehdit düzeyi bu sayının çok ötesindedir. Kimlik doğrulaması gerektirmeden ağ üzerinden uzaktan istismar edilebilmesi, vahşi ortamda kullanıldığının teyit edilmesi ve CISA'nın Bilinen İstismar Edilen Açıklar (KEV) kataloğuna alması, bu açığı kuruluşlar için acil müdahale önceliği haline getirmektedir.
Açık Teknik Olarak Nasıl Çalışıyor?
CVE-2026-32201, SharePoint Server'ın HTTP isteklerini işleme biçimindeki yetersiz girdi doğrulamasından (Improper Input Validation / CWE-20) kaynaklanmaktadır. Saldırgan, SharePoint'in sayfa, liste veya belge gibi kaynakları oluşturmaktan sorumlu girdi işleme katmanına özel olarak hazırlanmış HTTP istekleri göndererek kimlik doğrulama denetimlerini atlayabilmektedir.
Bu sayede saldırgan, güvenilir SharePoint bileşenlerinden geliyormuş gibi görünen sahte yanıtlar oluşturabilir. Teknik saldırı profili şu şekilde özetlenebilir: saldırı vektörü ağ tabanlıdır (AV:N), karmaşıklık düzeyi düşüktür (AC:L), herhangi bir yetkiye gerek yoktur (PR:N) ve kullanıcı etkileşimi gerekmemektedir (UI:N). Kısacası kurbanın herhangi bir şey yapmasına gerek kalmadan, yalnızca ağ erişimi yeterlidir.
Hangi Sistemler Etkileniyor?
Açık yalnızca şirket içi (on-premises) SharePoint Server dağıtımlarını etkilemektedir. Etkilenen sürümler şunlardır:
- Microsoft SharePoint Server 2016
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Server Subscription Edition
Microsoft 365 ve SharePoint Online kullanıcıları bu açıktan etkilenmemektedir.
Saldırı Sonucunda Ne Olabilir?
Başarılı bir istismar sonucunda saldırgan; SharePoint sitelerindeki hassas bilgileri yetkisiz olarak görüntüleyebilir, açığa çıkan verileri değiştirebilir ya da tahrif edebilir, kullanıcıları meşru içerik gibi görünen sahte sayfalara yönlendirerek kimlik avı saldırısı başlatabilir ve ele geçirilen ortamda kalıcı erişim sağlayarak yanal hareket gerçekleştirebilir.
Güvenlik araştırmacıları, bu açığın daha önceki SharePoint zafiyetlerinin fidye yazılımı kampanyalarında ve siber casusluk operasyonlarında kullanılmasıyla benzer bir istismar örüntüsü sergilediğine dikkat çekmektedir.
CISA Devreye Girdi: Federal Son Tarih 28 Nisan
Açığın vahşi ortamda aktif biçimde kullanıldığının doğrulanması üzerine ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-32201'i KEV kataloğuna ekledi. Tüm federal sivil kuruluşlara 28 Nisan 2026 tarihine kadar yamaları uygulamaları zorunluluğu bildirildi. Kamu kurumları dışındaki özel sektör kuruluşlarının da bu son tarihi aciliyet referansı olarak benimsemesi önerilmektedir.
Nasıl Korunursunuz?
Kuruluşların aşağıdaki adımları derhal uygulaması gerekmektedir:
- Acil yama uygulaması: SharePoint Server 2016 için KB5002861, SharePoint Server 2019 için KB5002854 ve SharePoint Server Subscription Edition için KB5002853 numaralı güncellemeler Microsoft Update, Windows Update veya Microsoft Update Catalog üzerinden uygulanabilir.
- İnternet maruziyetini kısıtlayın: SharePoint sunucularının internete doğrudan açık olup olmadığını kontrol edin. Güvenlik duvarı veya ters proxy aracılığıyla erişimi yalnızca güvenilir ağlarla sınırlandırın.
- WAF kurallarını güncelleyin: Web Application Firewall kullanıyorsanız layout ve liste uç noktalarındaki parametreleri denetleyen kurallar ekleyin, anormal HTTP isteklerini tespit edecek imza güncellemelerini uygulayın.
- Denetim günlüklerini inceleyin: Açığın yama öncesinde aktif olarak kullanılmış olduğu göz önünde bulundurulduğunda, sistemin daha önce de hedef alınmış olabileceği ihtimaline karşı SharePoint kayıtlarında olağandışı istek örüntülerini tarayın.
- Güvenlik açığı taraması yapın: Ortamınızdaki SharePoint örneklerinin hangi sürümde çalıştığını tespit etmek ve yama durumunu doğrulamak için güncel bir tarama gerçekleştirin.
Büyük Resim: Nisan 2026 Patch Tuesday
CVE-2026-32201, Microsoft'un Nisan 2026 Patch Tuesday kapsamında kapattığı 163 açıktan yalnızca biridir. Bu güncelleme, Microsoft tarihinin en büyük ikinci aylık yaması olma özelliği taşımaktadır. Bu ayın güncellemelerinde ayrıcalık yükseltme (Elevation of Privilege) açıklarının oranı yüzde 57'nin üzerinde olup bu durum, saldırganların hedef sistemlerde kalıcılık sağlamaya ve daha derin erişim elde etmeye odaklandığına işaret etmektedir.
Öne çıkan diğer kritik açıklar şunlardır: CVE-2026-33824, Windows IKE Uzaktan Kod Yürütme açığıdır ve CVSS skoru 9.8 ile kimlik doğrulaması gerektirmeden ağ üzerinden uzaktan kod çalıştırmaya olanak tanımaktadır. CVE-2026-33825 ise kamuoyuna duyurulmuş ve PoC kodu mevcut olan Microsoft Defender Yetki Yükseltme açığıdır (CVSS: 7.8). CVE-2026-33826, Windows Active Directory'yi etkileyen bir Uzaktan Kod Yürütme açığıdır ve CVSS skoru 8.0 olarak belirlenmiştir.
Sonuç
CVE-2026-32201, CVSS skoru orta düzeyde görünse de gerçek tehdit seviyesi bu sayının çok ötesindedir. Yama öncesinde sıfır gün olarak aktif biçimde istismar edilmiş olması, CISA'nın KEV listesine alınması ve SharePoint'in kurumsal ortamlardaki merkezi rolü, bu açığı acil müdahale gerektiren bir önceliğe dönüştürmektedir.
Şirket içi SharePoint ortamı yöneten tüm kuruluşların yamaları derhal uygulaması ve ortamlarının yama öncesi dönemde hedef alınıp alınmadığını incelemesi büyük önem taşımaktadır. Sayısal skor değil, vahşi ortamdaki gerçek istismar aktivitesi, bu açığın önceliğini belirleyen asıl faktördür.