Avustralya Siber Güvenlik Merkezi (ACSC), Microsoft’un SharePoint Server ürünlerinde, saldırganların uzaktan çalıştırılmasına izin veren Sweetoint Server ürünlerinde sömürülen bir güvenlik açığı için bir uyarı yayınladı.
Şirket içi SharePoint sunucuları tarafından güvenilmeyen verilerin, kötü amaçlı kodun içine eklenmesini sağlayan searyalizasyonu-açmayı ve işlenmesini-içerir.
ACSC’ye göre Microsoft, güvenlik açığı için bir istismarın var olduğunun farkında ve şirket içi SharePoint Server müşterilerini hedefleyen aktif saldırılar gözlemlediğinin farkında.
Microsoft ayrıca CVE-2025-53770 olarak izlenen güvenlik açığını da kabul etti.
Microsoft, müşterilerin ortamlarını korumak için adımlar atabileceğini ve güvenlik açığını işlemek için bir güncelleme geliştirdiğini ve test ettiğini de sözlerine ekledi.
Şirket, müşterilerin SharePoint Server ile Windows Malware Anti-Scan Arayüzü (AMSI) arasındaki entegrasyonu yapılandırmasını önerdi, bu da kimliksiz kullanıcıların güvenlik açığından yararlanmasını önlemelidir.
AMSI entegrasyonu, SharePoint Server 2016 için Eylül 2023 Güvenlik Güncellemesi ve SharePoint Server Abonelik Sürümü için 23H2 özellik güncellemesinde varsayılan olarak etkinleştirilir.
AMSI etkinleştirilemezse, Microsoft, kullanıcıların bir güvenlik güncellemesi mevcut olana kadar SharePoint sunucularını internetten çıkarmasını önerir.
Microsoft 365 Güvenlik Merkezi’nde “Spinstall0.aspx” adlı bir dosya arayarak, yöneticiler SharePoint Server’da olası sömürü etkinliğini bulabilir:
DeviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Microsoft, kullanıcıların eksploit sonrası etkinliği algılamak ve engellemek için uç nokta için defans yapması gerektiğini söyledi.
Şirket, Microsoft 365’teki SharePoint Online’ın hatadan etkilenmediğini söyledi.
Güncelleme Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Ajansı (CISA) Itnews sömürüden haberdar edildiğini [of the SharePoint Server vulnerability] güvenilir bir taraf tarafından ve harekete geçmek için hemen Microsoft’a ulaşmıştı.
CISA’nın Siber Güvenlik Yönetici Yardımcısı Chris Butera, kamuya açık “araç kepçe” olarak bildirilen güvenlik açığının sistemlere yetkisiz erişim sağladığını ve kötü niyetli aktörlerin SharePoint içeriğine tam olarak erişmesini sağladığını açıkladı.
Bu, dosya sistemlerini ve dahili yapılandırmaları içerir ve tehdit aktörlerinin de ağ üzerinden kod yürütebileceği.
“Microsoft hızlı bir şekilde yanıt veriyor ve potansiyel olarak etkilenen varlıkları önerilen hafifletmeler hakkında bilgilendirmeye yardımcı olmak için şirketle birlikte çalışıyoruz ”dedi.
Butera, “CISA, şirket içi Microsoft SharePoint sunucularına sahip tüm kuruluşları hemen önerilen işlem yapmaya teşvik ediyor.”