Çin hükümetiyle bağları olan bilgisayar korsanları, bir Microsoft SharePoint sıfır gün güvenlik açığı zincirini hedefleyen son zamanlarda yapılan yaygın saldırılar dalgasıyla ilişkilendirildi.
Şirket içi SharePoint sunucularına hackledikten sonra dünya çapında düzinelerce kuruluşu ihlal etmek için bu istismar zincirini (“araç kepçe” olarak adlandırılan) kullandılar.
Google Cloud’un Mantion Consulters CTO’su Charles Carmakal, “Bu erken sömürüden sorumlu aktörlerden en az birinin Çin-nexus tehdit oyuncusu olduğunu değerlendiriyoruz. Birden fazla aktörün bu kırılganlığı aktif olarak kullandığını anlamak çok önemlidir.” Dedi.
Diyerek şöyle devam etti: “Bu eğilimin, çeşitli motivasyonların yönlendirdiği diğer çeşitli tehdit aktörlerinin de bu istismardan yararlanacağını tam olarak tahmin ediyoruz.”
Cuma günü, Hollanda siber güvenlik firması göz güvenliği ilk olarak CVE-2025-49706 ve CVE-2025-49704 güvenlik açıklarından yararlanan sıfır gün saldırılarını tespit etti (ilk olarak Viettel Cyber Güvenlik Araştırmacılarının Berlin PWN2OWN Hacking Yarışması sırasında demoed).
Şirket, BleepingComputer’a, birkaç çok uluslu şirket ve ulusal hükümet kuruluşu da dahil olmak üzere en az 54 kuruluşun tehlikeye atıldığını söyledi.
Microsoft, Tehdit Aktörleri tarafından tamamen yamalı shopoint sunucularını tehlikeye atmak için kullanılan sıfır günler için hafta sonu için hafta sonu için iki yeni CVE kimliği (CVE-2025-53770 ve CVE-2025-53771) atadı. O zamandan beri, her iki RCE kusurunu da ele almak için SharePoint Abonelik Sürümü, SharePoint 2019 ve SharePoint 2016 için acil durum yamaları da yayınladı.
POC istismar şimdi mevcut
Pazartesi günü, Microsoft, etkilenen tüm SharePoint sürümleri için güvenlik yamaları yayınladıktan sonra, GitHub’da CVE-2025-53770 kavram kanıtı istismarı da piyasaya sürüldü ve daha fazla tehdit aktörlerinin ve hack gruplarının devam eden saldırılara katılmasını kolaylaştırdı.
CISA ayrıca, bilinen sömürülen güvenlik açığı kataloğuna CVE-2025-53770 uzaktan kod yürütme güvenlik açığını ekledi ve federal ajanslara piyasaya sürüldükten bir gün sonra yamalar uygulamalarını emretti.
Siber güvenlik ajansı, “‘Araç kağıdı’ olarak bildirilen bu sömürü etkinliği, sistemlere kimlik doğrulanmamış erişim sağlar ve kötü niyetli aktörlerin dosya sistemleri ve dahili yapılandırmalar da dahil olmak üzere SharePoint içeriğine tam olarak erişmesini ve ağ üzerinden kod yürütmesini sağlar.” Dedi.
“Microsoft hızlı bir şekilde yanıt veriyor ve potansiyel olarak etkilenen varlıkları önerilen hafifletmeler hakkında bilgilendirmeye yardımcı olmak için şirketle birlikte çalışıyoruz. CISA, şirket içi Microsoft SharePoint sunucularına sahip tüm kuruluşları derhal önerilen işlem yapmaya teşvik ediyor.”
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.