Araştırmacılar, Microsoft SharePoint Server’da vahşi doğada aktif olarak sömürülen kritik sıfır gün güvenlik açıklarını hedefleyen yeni bir Metasploit istismar modülü geliştirdiler.
Metasploit Framework deposunda Çekme İsteği #20409 olarak adlandırılan modül, savunmasız SharePoint kurulumlarına karşı yetkilendirilmemiş uzaktan kod yürütme (RCE) saldırılarını sağlayan CVE-2025-53770 ve CVE-2025-53771’e hitap eder.
Key Takeaways
1. SharePoint vulnerabilities (CVE-2025-53770/53771) exploited in the wild via a single HTTP request.
2. Unauthenticated RCE on SharePoint 2019 with SYSTEM privileges.
3. Secure SharePoint deployments immediately - no patches available.
SharePoint 0 gün için metasploit modülü
Yeni tanımlanan güvenlik açıkları, daha önce açıklanan güvenlik kusurları için CVE-2025-49704 ve CVE-2025-49706 için sofistike yama baypaslarını temsil eder.
Rapid7, istismarın ilk olarak 19 Temmuz 2025 dolaylarında aktif saldırılarda gözlemlendiğini ve SharePoint sunucularından ödün vermek için tek bir HTTP isteği kullanarak gözlemlendiğini doğruladı.
Exploit, özellikle /_layouts/15/toolpane.aspx uç noktasını hedefler ve sistem ayrıcalıklarıyla kod yürütülmesini sağlamak için bir seansizasyon kırılganlığından yararlanır.
Saldırı vektörü, özel olarak hazırlanmış bir .NET serileştirme yükü içeren yalnızca tek bir kötü amaçlı HTTP isteği gerektiren dikkate değer bir sadelik gösterir.
Test sırasında, modül, C: \ Windows \ System32 \ inetsrv dizininde bir metre preter oturumu oluşturarak 16.0.10417.20027 sürümünü çalıştıran SharePoint Server 2019 sürümünü çalıştıran bir Windows Server 2022 sistemini başarıyla tehlikeye attı.
Metasploit modülü istismar/windows/http/sharepoint_toolpane_rce, tam interaktif oturumlar için CMD/Windows/HTTP/X64/Meterpreter_revre_tcp ve komut yürütme için CMD/Windows/Generic dahil olmak üzere birden fazla yük yapılandırmasını destekler.
Exploit, vahşi saldırılarda keşfedilen orijinal Base64 kodlu gadget zincirini değiştirerek kötü amaçlı yükler oluşturmak için MSF :: UTIL :: DotNetDeserializasyon Rutinlerini kullanır.
Mevcut modül seçenekleri, SOCKS4, SOCKS5 ve HTTP dahil olmak üzere çeşitli protokoller aracılığıyla yapılandırılabilir hedef ana bilgisayarlar (RHOSTS), bağlantı noktaları (RPORT), SSL müzakeresi ve proxy desteği içerir.
Yükü dağıtım mekanizması, yürütüldükten sonra artefaktları kaldırmak için otomatik temizleme özellikleriyle sertifika, curl ve tftp dahil olmak üzere birden fazla getirme komutunu destekler.
Hafifletme
Güvenlik açığı, Microsoft SharePoint Server kurulumlarını, özellikle de 2019 sürümünü çalıştıranları etkiler.
KB5002741 aracılığıyla ilk yama denemeleri Toolpane.aspx uç noktaları için yol doğrulama kontrollerini uygular, ancak yeni istismar bu korumaları başarıyla atlar.
Test, kimlik doğrulama gereksinimlerine sahip bazı SharePoint yapılandırmalarının, başarılı bir şekilde kullanılma doğrulaması için error.aspx’ten start.aspx’e uç nokta ayarlamalarına ihtiyaç duyabileceğini ortaya koydu.
Kuruluşlar, uzlaşma göstergeleri için SharePoint dağıtımlarını derhal gözden geçirmeli ve resmi Microsoft yamalarını beklerken ağ düzeyinde korumaları uygulamalıdır.
Bu güvenlik açıklarının aktif olarak sömürülmesi, kimlik doğrulanmamış doğaları ile birleştiğinde, etkilenen SharePoint sürümlerini yöneten işletme ortamları için önemli riskler sunmaktadır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi