Check Point Research’ten elde edilen bulgulara göre, yakın zamanda açıklanan kritik Microsoft SharePoint güvenlik açığı 7 Temmuz 2025’te sömürü altında.
Siber güvenlik şirketi, isimsiz büyük bir Batı hükümetini hedefleyen ilk sömürü girişimlerini gözlemlediğini, 18 ve 19 Temmuz’da yoğunlaşarak, Kuzey Amerika ve Batı Avrupa’daki hükümeti, telekomünikasyon ve yazılım sektörlerini kapsayan.
Check Point ayrıca sömürü çabalarının üç farklı IP adresinden kaynaklandığını söyledi – 104.238.159[.]149, 107.191.58[.]76 ve 96.9.125[.]147-Bunlardan biri daha önce Ivanti Endpoint Manager Mobile (EPMM) cihazlarında (CVE-2025-4427 ve CVE-2025-4428) güvenlik kusurlarının silahlanmasına bağlı.
Checker News Research’teki Tehdit İstihbaratı Direktörü Lotem Finkelstein, “Acil ve aktif bir tehdide tanık oluyoruz: Şaraplı SharePoint’te kritik bir sıfır gün, binlerce küresel organizasyonu riske atıyor.”
“Ekibimiz 7 Temmuz’dan bu yana hükümet, telekom ve teknoloji sektörlerinde düzinelerce uzlaşma girişimini doğruladı. İşletmeleri güvenlik sistemlerini hemen güncellemeye şiddetle tavsiye ediyoruz-bu kampanya hem sofistike hem de hızlı hareket ediyor.”
Saldırı zincirleri, SharePoint Server’da yeni yamalı bir uzaktan kod yürütme kusuru olan CVE-2025-53770’den yararlanıyor ve CVE-2025-49706 ile zincirleme, Microsoft tarafından Salı güncellemesinin bir parçası olarak yamalanan bir sahtekarlık kırılganlığı, başlangıç erişimini ve artışları kazandı.
Bu aşamada, SharePoint’te bu ay ortaya çıkan iki güvenlik açığı setinin olduğunu belirtmek gerekir –
- CVE-2025-49704 (CVSS Puanı: 8.8) – Microsoft SharePoint Uzaktan Kod Yürütme Güvenlik Açığı (8 Temmuz 2025’te sabit)
- CVE-2025-49706 (CVSS Puanı: 7.1) – Microsoft SharePoint Server Sahtekarlığı Güvenlik Açığı (8 Temmuz 2025’te sabit)
- CVE-2025-53770 (CVSS Puanı: 9.8) – Microsoft SharePoint Server Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-53771 (CVSS Puanı: 7.1) – Microsoft SharePoint Server Sahtekarlığı Güvenlik Açığı
Toplu olarak araç kılıfı olarak adlandırılan CVE-2025-49704 ve CVE-2025-49706, SharePoint Server örneklerinde uzaktan kod yürütülmesine yol açabilecek bir sömürü zinciridir. Başlangıçta bu Mayıs ayının başlarında PWN2OWN 2025 hack yarışması sırasında Viettel siber güvenlik tarafından açıklandı.
Hafta sonu boyunca ortaya çıkan CVE-2025-53770 ve CVE-2025-53771, sırasıyla CVE-2025-49704 ve CVE-2025-49706 varyantları olarak tanımlanmıştır, bu da Microsoft tarafından bu ayın başlarında yer alan orijinal düzeltmeler için baypas olduğunu gösterir.
Bu, Microsoft’un “kısmen Temmuz güvenlik güncellemesi tarafından ele alınan güvenlik açıklarından” yararlanan aktif saldırıları kabul ettiği gerçeğiyle kanıtlanmıştır. Şirket ayrıca, CVE-2025-53770 ve CVE-2025-53771 güncellemelerinin CVE-2025-49704 ve CVE-2025-49706 güncellemelerinden “daha sağlam koruma” içerdiğini belirtti. Bununla birlikte, CVE-2025-53771’in Redmond tarafından vahşi doğada aktif olarak sömürüldüğü gibi işaretlenmediğini belirtiyor.
Bitdefender Teknik Çözümler Direktörü Martin Zugec, “CVE-2025-53770, Microsoft Sharepoint Server’ın güvenilmeyen verilerin seansize edilmesini nasıl ele aldığı konusunda bir zayıflıktan yararlanıyor.” Dedi. “Saldırganlar, kimliği doğrulanmamış uzaktan kod yürütme kazanmak için bu kusurdan yararlanıyor.”
Bu da, programlı olarak hassas kriptografik anahtarları çıkaran kötü niyetli ASP.NET web kabukları dağıtılarak elde edilir. Bu çalınan anahtarlar daha sonra kötü niyetli __ViewState yükleri hazırlamak ve imzalamak için kaldırılır, böylece kalıcı erişim oluşturur ve SharePoint Server’da keyfi komutların yürütülmesini sağlar.
Bitdefender telemetrisine göre, ABD, Kanada, Avusturya, Ürdün, Meksika, Almanya, Güney Afrika, İsviçre ve Hollanda’da Wild Insoures tespit edilmiştir ve bu da kusurun yaygın kötüye kullanılmasını önermektedir.
Palo Alto Networks Birimi 42, kampanyayı kendi analizinde, “C: \ progra ~ 1 \ common ~ 1 \ micros ~ 1 \ webser ~ 1 \ 16 \ template \ template \ \ template \ 16 \ retouts \ spinstall0.aspx” konumunda bir dosya oluşturan bir dosya oluşturan komutların çalıştırıldığını ve daha sonra içeriğini yerine getirdiğini söyledi.
Ünite 42, “Spinstall0.aspx dosyası, viewstate şifreleme anahtarlarını oluşturmak için gerekli olan validationKeys, DecryptionKeys ve sunucunun uyumluluğunu almak için çeşitli işlevleri yürütebilen bir web kabuğudur.” Dedi.
 |
| Spinstall0.aspx içeriği |
Pazartesi günü yayınlanan bir danışma belgesinde, Sentinelone ilk olarak 17 Temmuz’da sömürü tespit ettiğini ve siber güvenlik şirketinin, keşif ve erken aşama sömürü faaliyetlerine katılan üç “farklı saldırı kümesi” tanımladığını söyledi.
Kampanyaların hedefleri arasında teknoloji danışmanlığı, imalat, kritik altyapı ve hassas mimari ve mühendislik organizasyonlarına bağlı profesyonel hizmetler bulunmaktadır.
Araştırmacılar Simon Kenin ve Tom Hegel, “İlk hedefler, stratejik değer veya yüksek erişimi olan kuruluşlara yönelik kuruluşlara yönelik etkinliğin başlangıçta dikkatle seçici olduğunu gösteriyor.” Dedi.
Saldırı etkinliğinin analizi, 18 Temmuz 2025’te 9:58 AM GMT’de şifre korumalı bir ASPX web kabuğunun (“xxx.aspx”) kullanılmasını ortaya koydu. Web kabuğu üç işlevi destekler: gömülü bir form yoluyla kimlik doğrulama, cmd.exe üzerinden komut yürütme ve dosya yükleme.
Daha sonraki sömürü çabalarının, ana bilgisayardan hassas şifreleme malzemesini çıkarmak ve ortaya çıkarmak için “spinstall0.aspx” web kabuğunu kullandığı bulunmuştur.
Spinstall0.aspx, “geleneksel bir komut web kabuğu değil, daha ziyade bir keşif ve kalıcılık faydası” dır. “Bu kod, validationKey, DeclyptionKey ve Kriptografik Mod ayarları dahil olmak üzere ana bilgisayarın Makine Terki değerlerini çıkarır ve yazdırır-yük dengeli SharePoint ortamlarında kalıcı erişimi sürdürmek veya kimlik doğrulama jetonlarını dövmek isteyen saldırganlar için kritik bilgiler.”
Uzaktan erişimi kolaylaştırmak için genellikle internete maruz kalan sunuculara bırakılan diğer web kabuklarının aksine, spinstall0.aspx, daha sonra SharePoint örnekleri arasında kimlik doğrulama veya oturum tokenlerini oluşturmak için kullanılabilecek kriptografik sırlar toplamak amacıyla tasarlanmış gibi görünmektedir.
Crowdstrike başına bu saldırılar, CrowdStrike’a göre PowerShell üzerinden spinstall0.aspx yazmaya çalışan erişilebilir bir SharePoint sunucusuna özel hazırlanmış bir HTTP sonrası isteği ile başlar. Şirket, 160’dan fazla müşteri ortamında yüzlerce sömürü girişimini engellediğini söyledi.
Sentinelone ayrıca, diske herhangi bir yük bırakmadan bellek içi .NET modülü yürütülmesini seçerek diğer tehdit aktörlerine “daha gelişmiş ve gizli bir yaklaşım” alan bir küme keşfetti. Etkinlik IP adresinden kaynaklandı 96.9.125[.]147.
Şirket, “Bu yaklaşım, sözleşmez bir sömürme sonrası teknikler tarafından yaratılan tehdidin altını çizerek tespit ve adli iyileşmeyi önemli ölçüde karmaşıklaştırıyor,” dedi.
Google’ın sahip olduğu Mantiant’ın erken serpmeyi Çin uyumlu bir hackleme grubuna atfetmesine rağmen, şu anda saldırı etkinliğinin arkasında kimin olduğu bilinmemektedir.
Censys’den alınan veriler, çevrimiçi olarak 9.762 şirket içi SharePoint sunucuları olduğunu göstermektedir, ancak şu anda hepsinin kusurlara duyarlı olup olmadığı bilinmemektedir. SharePoint sunucularının, içinde depolanan hassas organizasyonel verilerin doğası nedeniyle tehdit aktörleri için kazançlı bir hedef olduğu göz önüne alındığında, kullanıcıların düzeltmeleri uygulamak, anahtarları döndürmek ve örnekleri yeniden başlatmak için hızlı bir şekilde hareket etmeleri önemlidir.
LinkedIn’deki bir yazıda Maniant Consulting, CTO’dan Charles Carmakal, “Erken sömürüden sorumlu aktörlerden en az birinin Çin-nexus tehdit oyuncusu olduğunu değerlendiriyoruz.” Dedi. Diyerek şöyle devam etti: “Birkaç sektördeki ve küresel coğrafyalardaki kurbanların farkındayız. Etkinlik öncelikle yama uygulandıktan sonra mağdur ortamlarına erişmek için kullanılabilecek makine anahtar materyalinin çalınmasını içeriyordu.”