Microsoft’un SharePoint sunucularındaki güvenlik açıklarının geçtiğimiz günlerde devlet destekli tehdit aktörleri tarafından hedef alınması, şirketin “Secure Future Initiative” (SFI) kapsamında yürüttüğü güvenlik dönüşümü programının etkinliğini ciddi şekilde tartışmaya açtı.
SFI Hedefleri ve Kritik Zaaflar
2023 sonlarında duyurulan SFI, Microsoft’un yazılım güvenliğini ürün geliştirme döngüsünün merkezine yerleştirmeyi, varsayılan olarak güvenli altyapılar inşa etmeyi ve insan hatasını en aza indirerek saldırı yüzeyini küçültmeyi amaçlıyordu. Ancak CVE-2025-49706 kodlu SharePoint zafiyetinin, Microsoft’un “MAPP” (Microsoft Active Protections Program) programından sızan teknik detaylarla Çin bağlantılı tehdit gruplarınca hızla istismar edilmesi, bu güvenlik ilkelerinin uygulamada yetersiz kaldığını gözler önüne serdi.
Söz konusu olay; kod inceleme süreçlerinin yüzeysel yürütülmesi, yama yönetiminde yaşanan gecikmeler ve dış paydaşlarla (tedarikçi, iş ortağı, siber istihbarat toplulukları) proaktif bilgi paylaşımında yaşanan zafiyetleri de ortaya çıkardı. Özellikle SFI ile hedeflenen “Zero Trust” ve “cloud-native” güvenlik vizyonunun yeterince etkin uygulanamadığı görülüyor.
Kurumsal Güven ve Regülasyon Endişesi
Yaşanan bu saldırı dalgası; başta ABD savunma kurumları ve kritik altyapı işletmecileri olmak üzere, birçok kuruluşun Microsoft’un sunduğu güvenlik taahhütlerine olan güvenini sarsıyor. Avrupa’daki regülasyon otoriteleri ise GDPR ve NIS2 gibi mevzuatlar kapsamında şirketi sorgulamaya başladı. Özellikle büyük müşteriler, bulut ortamlarının güvenliği ve tedarik zincirinde şeffaflık gibi konularda yeniden denetim talep ediyor.
Microsoft’tan Yeni Önlemler
Saldırının ardından Microsoft, SFI programına önemli güncellemeler ekledi: Otomatikleştirilmiş yapay zeka tabanlı kod inceleme süreçleri, yama yönetimi öncesi bilgi akışının sıkı denetimi ve gerçek zamanlı tehdit analitiği yeni öncelikler olarak tanımlandı. Ayrıca dış paydaşlarla daha kontrollü bilgi paylaşımı ve proaktif zafiyet yönetimi için prosedürler güncellendi.
Güvenlik Sınavı Devam Ediyor
SharePoint saldırıları, Microsoft’un Secure Future Initiative programının yalnızca teorik değil, pratikte de gerçek dünyadaki tehditlere karşı etkinliğinin büyük bir sınavı hâline geldi. Şirketin, güvenlik mimarisini sadece ürün seviyesinde değil, iş süreçlerinin tamamında kökten gözden geçirmesi bekleniyor.