Microsoft, Çin ulus-devlet aktörlerinin şirket içi sharepoint sunucularındaki sıfır gün güvenlik açıklarından aktif olarak yararlandığını, acil güvenlik güncellemelerini ve dünya çapında kuruluşlar için derhal yama önerilerini kullandığını doğruladı.
Güvenlik Açığı Keşfi ve Aktif Sömürü
19 Temmuz 2025’te Microsoft Güvenlik Müdahale Merkezi, birden fazla Çin tehdit aktörünün şirket içi SharePoint sunucularını etkileyen iki kritik güvenlik açıkından yararlandığını açıkladı: CVE-2025-49706, bir sahte güvenlik açığı ve CVE-2025-49704, uzak kod yürütme güvenlik açığı.
Bu güvenlik açıkları, Microsoft 365’te SharePoint Online’ı etkilemez, ancak şirket içi kurulumlar yürüten kuruluşlar için önemli riskler oluşturmaktadır.
Microsoft’un soruşturması, sömürü denemelerinin 7 Temmuz 2025 gibi başlarında başladığını ve Tehdit Aktörleri, Araç Postası’na hazırlanmış posta talepleri aracılığıyla internete bakan SharePoint sunucularını hedefleyen olduğunu ortaya koyuyor.
Şirket, bu istismarların birden fazla tehdit grubunda hızlı bir şekilde benimsenmesini gözlemlemiştir ve ek aktörlerin bu güvenlik açıklarını saldırı kampanyalarına entegre etmeye devam edeceğine dair yüksek güvenle değerlendirilmiştir.
Bu güvenlik açıklarından yararlanan üç farklı Çin tehdit aktörü tespit edildi. 2012’den beri aktif olan Linen Typhoon, hükümet, savunma ve insan hakları örgütlerinden fikri mülkiyet çalmaya odaklanıyor.
2015’ten beri faaliyet gösteren Violet Typhoon, eski hükümet personeline, STK’lara, düşünce kuruluşlarına ve ABD, Avrupa ve Doğu Asya’daki eğitim kurumlarına karşı casusluk yapıyor.
Üçüncü aktör olan Storm-2603, Microsoft’un bilinen diğer Çinli aktörlerle bağlantılı olmadığı orta güven Çin merkezli bir tehdit grubunu temsil ediyor.
Bu grup daha önce Warlock ve Lockbit fidye yazılımlarını dağıtmış olsa da, SharePoint istismarlarıyla ilgili mevcut hedefleri belirsizliğini koruyor.
Başarılı sömürü, tehdit aktörlerinin hazırlanmış posta istekleri aracılığıyla “spinstall0.aspx” varyasyonları adlı kötü niyetli web kabuklarını yüklemeyi içerir.
Bu web mermileri, Makine Terici verilerini almak için komutlar içerir ve saldırganların tehlikeye atılmış SharePoint sunucularından kritik kimlik doğrulama materyali çalmasını sağlar.
Saldırganlar daha sonra bu çalınan verileri, hedef ağlardaki kalıcı erişim ve potansiyel yanal hareket için kullanırlar.
Microsoft, Abonelik Edition, 2019 ve 2016 dahil olmak üzere tüm desteklenen SharePoint Server sürümleri için kapsamlı güvenlik güncellemeleri yayınladı.
Şirket, tam modda antimalware tarama arayüzünü (AMSI) etkinleştirmenin ve tüm SharePoint sunucularına Microsoft Defender antivirüsünü dağıtmanın yanı sıra anında yama yapmayı şiddetle tavsiye eder.
Ek kritik adımlar, SharePoint Server ASP.NET makine tuşlarını döndürme, İnternet bilgi hizmetlerinin yeniden başlatılması ve uç nokta algılama çözümlerinin dağıtılması yer alır.
Hemen yama yapamayan kuruluşlar, sunucuları internetten ayırmayı veya kimlik doğrulanmamış trafiği sınırlamak için VPN/Proxy kimlik doğrulamasını uygulamayı düşünmelidir.
Bu sıfır günlük güvenlik açıklarının aktif sömürüsü, Çin ulus-devlet aktörleri tarafından ortaya çıkan kalıcı tehdidin ve kurumsal altyapı boyunca mevcut güvenlik güncellemelerini sürdürmenin kritik öneminin altını çizmektedir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now