Microsoft, şirket içi SharePoint Server’da toplu olarak olarak adlandırılan bir çift sıfır günlük güvenlik açıkının, fırsatçı siber suçlardan sofistike ulus devlet gelişmiş ısrar (APT) gruplarına kadar çeşitli tehdit aktörleri tarafından aktif sömürü altında olduğunu doğruladı.
Toolshell, kimlik doğrulanmamış saldırganların savunmasız sunucularda keyfi kod yürütmesine izin veren kritik bir uzaktan kod yürütme (RCE) kusur olan CVE-2025-53770’i kapsar.
Bu sorunlar, SharePoint Server 2016, 2019 ve abonelik sürümünün desteklenen sürümlerini yalnızca Microsoft 365’te Microsoft 365’te bırakarak bırakarak desteklenen sürümleri etkiler.
Araç kağıdı güvenlik açıklarına genel bakış
Sömürü, saldırganların ilk erişim elde etmek ve kalıcı webshell’leri dağıtmak için CVE-2025-49704 ve CVE-2025-49706 dahil olmak üzere daha önce yamalı güvenlik açıklarına sahip araç köyü zincirlemesiyle başladı.
Bu zincir, tehdit aktörlerinin kısıtlı sistemlere sızmalarını, hassas verileri çıkarmalarını ve potansiyel olarak ofis, ekipler, onedrive ve Outlook gibi entegre Microsoft hizmetleri arasında değişmesini sağlıyor ve saldırının işletme ağları içindeki kapsamını artırıyor.
Telemetri verileri, ABD’nin olayların% 13,3’ünü oluşturan yaygın saldırıların, ardından Almanya, İtalya ve diğer bölgelerde küresel olarak tespitleri göstermektedir.
Özellikle, hükümetleri hedeflemek için bilinen bir grup olan Luckymouse, telekomünikasyon ve uluslararası kuruluşlar da dahil olmak üzere Çin’e uyumlu APT’ler, tehlikeye atılan bir Vietnam sistemi üzerinde arka kapı konuşlandırmasının kanıtlandığı gibi araç köyünü operasyonlarına dahil etti.
ESET araştırmacılarına göre, kesin enfeksiyon vektörü belirsizliğini korurken, bu kötü amaçlı yazılımların varlığı, sömürü denemeleri sırasında daha önce uzlaşma veya fırsatçı zincirleme önermektedir.
Microsoft, tam modda antimal yazılım tarama arayüzünün (AMSI) etkinleştirilmesinin yanında uygulandığında her iki CVE’yi tam olarak hafifleten kümülatif güvenlik güncellemeleri (örneğin, abonelik baskısı için KB5002768) aracılığıyla kapsamlı yamalar yayınladı.
Azaltma stratejileri
Sıkıştırma sonrası, saldırganlar sık sık kötü niyetli ASP.NET Web Shells (spinstall0.aspx (sha-1 f5b60a8ead ile msil/webshell.js olarak izlenir.
Gözlenen ek webshell varyantları arasında GhostFile346.aspx, GhostFile399.aspx, GhostFile807.aspx, GhostFile972.aspx ve GhostFile913.aspx, genellikle SharePoint’in Web Server Uzantıları dizinlerine yazılmıştır.
İzleme, Kaopu Cloud HK Limited ve Constant Company, LLC gibi sağlayıcılar tarafından barındırılan 154.223.19.106 ve 141.164.60.10 gibi kaynaklardan en yüksek aktivite ile bir düzineden fazla IP adresinden kaynaklanan sömürü ortaya koymaktadır.
Bu saldırılar, W3WP.EXE işlemleri tarafından ortaya çıkan kodlanmış PowerShell komutlarını içerir ve düzen klasörlerini backdoors yüklemek için hedefler.
Microsoft Defender Antivirus, Sümük: Script/SusmSignoutreq.A ve Trojan gibi adlar altında ilgili davranışları algılar: Powershell/MachineKeyfinder.da! Amsi, Endpoint için Defender şüpheli IIS çalışan süreçleri ve potansiyel web köyü kurulumları için uyarılar yükseltir.
Microsoft 365 Defender’da, spinstall0.aspx kreasyonları için aygıt dosyaları veya anormal cmd.exe invokasyonları için aygıtlar için tanıtımlar gibi gelişmiş av sorguları, taban 64 kodlu yüklerle anormal cmd.exe invokasyonları, tavizleri tanımlamaya yardımcı olur.
Satın alınmamış sistemler için Microsoft, internetten bağlantıyı kesmeyi veya kimliği doğrulanmış vekiller/VPN’ler aracılığıyla yönlendirmeyi tavsiye eder.
Devam eden tehditlere karşı koymak için kuruluşların desteklenen SharePoint sürümlerine yükseltilmesi, en son güncellemeleri derhal uygulaması, AMSI entegrasyonunu (varsayılan olarak Eylül 2023 güncellemelerinden beri etkinleştirilmiş), uç nokta için Defender gibi uç nokta korumasını dağıtmalı ve çalınan kimlik bilgilerini geçersiz kılmak için makine anahtarlarını döndürmelidir.
APT’lerin hızlı bir şekilde benimsenmesi ve istismarın sadeliği göz önüne alındığında, sınırsız ortamlar yüksek risk altında kalır ve bu, tehdit aktörleri için bu ye-year büfesini sömüren artan fırsatçı saldırıların beklentileri ile devam eder.
Uzlaşma Göstergeleri (IOCS)
| Tip | SHA-1 / IP | Dosya adı | Tespit | Tanım | İlk görüldü |
|---|---|---|---|---|---|
| Dosya | F5B60A8AD96703080E73A1F79C3E70F44DF271 | spinstall0.aspx | MSIL/Webshell.js | Web Shell SharePoint güvenlik açıkları aracılığıyla dağıtıldı | N/A |
| Ağ | 83.136.182.237 | N/A | Alina Gatsianuk | IP Sökülme SharePoint Güvenlik Açıkları | 2025-07-21 |
| Ağ | 162.248.74.92 | N/A | Xtom Gmbh | IP Sökülme SharePoint Güvenlik Açıkları | 2025-07-21 |
| Ağ | 38.54.106.11 | N/A | Kaopu Cloud HK Limited | IP Sökülme SharePoint Güvenlik Açıkları | 2025-07-21 |
| Ağ | 206.166.251.228 | N/A | BL Ağları | IP Sökülme SharePoint Güvenlik Açıkları | 2025-07-21 |
| Ağ | 45.77.155.170 | N/A | Vultr Holdings, LLC | IP Sökülme SharePoint Güvenlik Açıkları | 2025-07-21 |
| Ağ | 64.176.50.109 | N/A | Constant Company, LLC | IP Sökülme SharePoint Güvenlik Açıkları | 2025-07-21 |
| Ağ | 109.105.193.76 | N/A | Haruka Network Limited | IP Sökülme SharePoint Güvenlik Açıkları | 2025-07-22 |
| Ağ | 2.56.190.139 | N/A | Alina Gatsianuk | IP Sökülme SharePoint Güvenlik Açıkları | 2025-07-22 |
| Ağ | 141.164.60.10 | N/A | Constant Company, LLC | IP Sökülme SharePoint Güvenlik Açıkları | 2025-07-22 |
| Ağ | 124.56.42.75 | N/A | IP yöneticisi | IP Sökülme SharePoint Güvenlik Açıkları | 2025-07-22 |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now