Çinli bilgisayar korsanları aktif olarak Sarayım Sunucuları Serverler Vahşi doğada 0 günlük güvenlik açığı


Çinli bilgisayar korsanları SharePoint Sunucuları İstismar 0 Gün

Microsoft, Çin devlet destekli tehdit aktörlerinin, şirket içi SharePoint sunucularındaki kritik sıfır gün güvenlik açıklarından aktif olarak yararlandığını ve dünya çapında kuruluşlar için acil güvenlik uyarılarını başlattığını doğruladı.

Teknoloji devinin Güvenlik Müdahale Merkezi, kimlik doğrulama baypası ve uzaktan kod yürütülmesini sağlayan yeni açıklanan güvenlik açıklarını kullanarak internete dönük SharePoint kurulumlarını hedefleyen koordineli saldırıları bildirdi.

Key Takeaways
1. CVE-2025-53770/53771 in on-premises SharePoint enables authentication bypass and RCE.
2. Attacks are driven by Chinese state-sponsored groups.
3.  Install Microsoft patches (KB5002768/2754/2760).

SharePoint Sıfır Gün Aktif Saldırılardan Sömürü

Sömürü kampanyası, daha önce discled CVE-2025-49706 CVE-2025-49706 ile ilgili güvenlik bypass sorunlarını ele alan CVE-2025-53771 ile birlikte, kimlik doğrulama baypası ve uzaktan kod yürütme özelliklerini birleştiren kapsamlı bir güvenlik açığı olan CVE-2025-53770 çevresinde merkezlenir.

Google Haberleri

Bu güvenlik açıkları özellikle SharePoint Server 2016, 2019 ve SharePoint aboneliği sürümü dahil olmak üzere şirket içi SharePoint sunucu yüklemelerini hedeflerken, Microsoft 365’teki SharePoint Online etkilenmez.

Microsoft güvenlik araştırmacıları, araç tabanı uç noktasına hazırlanmış posta talepleri yoluyla keşif yapan tehdit aktörlerini gözlemlediler, ardından spinstall0.aspx adlı kötü niyetli web kabuklarının başarılı bir şekilde konuşlandırılması ve spinstall.aspx, spinstall1.aspx ve spinstall2.aspx gibi varyantlar.

Saldırganlar, bu web mermilerini kritik ASP.NET Makine Tarkası verilerini çıkarmak için kullanır ve bu da tehlike altına alınan sistemlere kalıcı erişim ve hedef ağlardaki potansiyel yanal hareket sağlar.

Üç farklı Çin tehdit grubu, bu güvenlik açıklarının birincil sömürüsü olarak tanımlanmıştır. 2012’den beri aktif olan Linen Typhoon, hükümet, savunma ve insan hakları örgütlerini hedefleyen fikri mülkiyet hırsızlığına odaklanmıştır.

2015’ten beri faaliyet gösteren Violet Typhoon, Amerika Birleşik Devletleri, Avrupa ve Doğu Asya’daki eski hükümet personeline, STK’lara ve eğitim kurumlarına karşı casusluk konusunda uzmanlaşmıştır.

Buna ek olarak, Microsoft, önceki kampanyalarda büyücü ve Lockbit fidye yazılımlarını dağıtmak için orta güven değerlendirmesine sahip Çin merkezli bir aktör olan Storm-2603’ü izler.

Sömürü girişimleri 7 Temmuz 2025’e kadar başladı ve tehdit aktörleri, PowerShell tabanlı yükleri dağıtmadan ve kalıcılık mekanizmaları oluşturmadan önce ilk erişim için bu güvenlik açıklarından yararlandı.

CVE Başlık CVSS 3.1 puanı Şiddet
CVE-2025-53770 SharePoint Toolshell Auth Bypass ve RCE 9.8 Eleştirel
CVE-2025-53771 SharePoint Araç Kazası Yolu geçiş 6.5 Orta

Hafifletme

Microsoft, SharePoint 2019 için KB5002768, KB5002754 ve KB5002753 ve SharePoint 2016 için KB5002760 ve KB5002759 dahil olmak üzere desteklenen tüm SharePoint sürümleri için kritik güvenlik güncellemeleri yayınladı.

Kuruluşlar, ek koruyucu önlemler uygularken derhal bu yamaları uygulamalıdır.

Temel azaltma adımları, tam modda antimal yazılım tarama arayüzünün (AMSI) etkinleştirilmesini, tüm SharePoint sunucularına Microsoft Defender antivirüsünün dağıtılması ve ASP.NET makine anahtarlarının ve ardından İnternet Bilgi Hizmetleri (IIS) yeniden başlatılmasını içerir.

Microsoft, servis sonrası etkinlikleri tespit etmek için uç nokta veya eşdeğer çözümler için Microsoft Defender’ın dağıtılmasını ve güvenlik güncellemeleri uygulanana kadar takılmamış sistemler için İnternet erişiminden geçici bağlantıyı dikkate almayı önerir.

Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi



Source link