Microsoft’un şirket içi SharePoint sunucularına karşı devam eden siber saldırılarla ilgili yeni bilgiler ortaya çıktı ve başlangıçta anlaşılandan daha geniş bir etki ortaya koydu. Hackread.com dün, Microsoft’un acil uyarıları ve kritik güvenlik açıkları (CVE-2025-53770 ve CVE-2025-53771) için saldırganların kötü niyetli kod yürütmesine izin veren yeni güvenlik güncellemelerini bildirdi.
Şimdi, siber güvenlik araştırmacıları önemli bir yükseliş doğruladı: dünya çapında yaklaşık 100 kuruluş şimdiye kadar başarıyla ihlal edildi. Bu yaygın sömürü, hükümetleri, işletmeleri ve diğer varlıkları küresel olarak etkiledi.
Mağdurlar arasında Avrupa ve Orta Doğu’da Ulusal Hükümetler, Eğitim Bakanlığı, Florida Gelir Dairesi ve Rhode Island Genel Kurulu gibi ABD hükümet sistemleri bulunmaktadır.
ABD merkezli bir sağlık hizmeti sağlayıcısı ve Güneydoğu Asya’daki bir devlet üniversitesi de hedeflendi ve Brezilya, Kanada, Endonezya, İspanya, Güney Afrika, İsviçre ve İngiltere gibi ülkelerde gözlemlenen ihlaller denenmiştir.
Saldırganların sıfır gün kusurlarından yararlandığı bildiriliyor, yani bu zayıflıklar daha önce bilinmiyordu, bu da casusların derin erişim kazanmasına ve potansiyel olarak kalıcı arka fırın kurmasına izin veriyor. Crowdstrike, Mantiant Consulting, Shadowserver Vakfı ve Göz Güvenliği gibi siber güvenlik firmaları bu saldırılara katılan birden fazla hacker grubunu izliyor.
Hollanda merkezli göz güvenliği ilk olarak Cuma günü aktif sömürü tespit etti ve Temmuz ayı başlarında Microsoft’tan ilk yamalardan sonra bile, bilgisayar korsanlarının müdahalelerine devam etmek için “yamaların etrafında yollar” bulduğunu belirtti. Crowdstrike ayrıca 18 Temmuz 2025’ten itibaren aktif sömürü gözlemleyerek 160’dan fazla müşteri ortamında yüzlerce denemeyi engelledi.
CrowdShell komutları aracılığıyla yazıldıktan sonra saldırganların IIS makine anahtarlarını çalmak için kullandıkları “spinstall0.aspx” adlı şüpheli bir dosyanın varlığıdır.
Acil eylem çağrısı
Çalıntı bilgiler, kullanıcı adları, şifreler ve karma kodlar gibi oturum açma kimlik bilgileri dahil olmak üzere son derece hassastır. Palo Alto Networks’ten Michael Sikorski’ye göre, SharePoint’in Office, Teams, OneDrive ve Outlook gibi diğer Microsoft hizmetleriyle derin entegrasyonu, bir uzlaşma bulunmadığı ve “tüm ağın kapısını açtığı” anlamına geliyor.
Microsoft, SharePoint 2019 ve Abonelik Sürümü için hafta sonu yamalar yayınlarken, SharePoint 2016 için güncellemeler halen geliştirilmektedir. Kuruluşların sadece mevcut yamaları uygulamakla kalmayıp aynı zamanda makine anahtarlarını döndürmeleri ve tehdidi tam olarak azaltmak için IIS hizmetlerini yeniden başlatmaları şiddetle tavsiye edilir.
Bu kritik adımlara ek olarak, 20 Temmuz 2025’te CISA (Siber Güvenlik ve Altyapı Güvenlik Ajansı) kendi rehberliğini yayınladı. Antimalware tarama arayüzünü (AMSI) SharePoint’te yapılandırmanızı, Microsoft Defender AV’yi tüm SharePoint sunucularına dağıtmanızı önerir ve AMSI etkinleştirilemezse, resmi hafifletmeler tamamen uygulanana kadar etkilenen etkilenen ürünleri birbirine ayırır.
Shodan gibi arama motorları tarafından küresel olarak 8.000’in üzerinde olduğu tahmin edilen çok sayıda potansiyel olarak savunmasız SharePoint sunucuları, kapsamlı güvenlik önlemlerine acil ihtiyaç olduğunu vurgulamaktadır. İhlaller ayrıca Microsoft’un siber güvenlik uygulamalarına yenilenmiş inceleme getirdi ve 2024 ABD hükümet raporu güvenlik kültüründe acil reformlar önerdi.
“Kriptografik varlık hırsızlığı yeni ‘kimlik avı’, kötü aktörler, şifreleri çalmak gibi, API anahtarları veya makine kimliği gibi önemli bir şifreleme varlığı almanın kaba kuvvet yöntemlerinden çok daha kolay olduğunu öğrendiler.“ dedi Robert Hann, Global Başkan Yardımcısı Teknik Çözümler Entrust.
Robert, “Hassas verileri şifreleme ve HSM’lerle korumak için, önce hangi özel anahtarlar, dijital sertifikalar ve şifreleme algoritmaları gibi kriptografik varlıkların hangi sistemleri ve bilgileri güvence altına aldığını anlamak önemlidir.
“HSM korumasına ek olarak, şirketlerin, yazılımı en son yamalar ve güvenlik güncellemeleri ile güncel tutmak, güçlü şifreleri kullanmak, tuşları düzenli olarak yuvarlamak ve güvenli yapılandırma yönergelerini takip etmek gibi SharePoint için diğer en iyi uygulamaları uygulamaları çok önemlidir” diye vurguladı.
Andrew Obadiaru’ya göre, Ciso, Saldırgan bir güvenlik şirketi olan Cobalt, “SharePoint gibi yaygın olarak konuşlandırılan platformlarda sıfır gün güvenlik açıkları, saldırganlar için bir altın madenidir, çünkü zorluk sadece yama yapmak değil; saldırganlar tipik olarak implant ısrar mekanizmalarının uzun süredir uzun süredir uzun süredir devam ediyor.“
Andrew, “Savunma stratejilerinin, rakipler yapmadan önce zayıflıkları ortaya çıkarmak için kırmızı ekip ve sürekli pentesting de dahil olmak üzere proaktif testler yoluyla kontrolleri varsayması ve doğrulaması gerekiyor. Bugünün tehdit manzarasında, tek başına reaktif güvenlik kaybedilen bir oyundur” dedi.