CISA, tehdit aktörlerinin vahşi doğada aktif olarak kullandığı şirket içi Microsoft SharePoint Server kurulumlarını etkileyen kritik bir sıfır günlük uzaktan kod yürütme kırılganlığı hakkında acil bir uyarı yayınladı.
CVE-2025-53770 olarak izlenen güvenlik açığı, SharePoint altyapısı yürüten kuruluşlar için önemli bir güvenlik riski oluşturmaktadır ve federal ajanslardan anında eylem gereksinimlerini ve etkilenen tüm kuruluşlar için önerilerde bulunmuştur.
Key Takeaways
1. CVE-2025-53770 allows remote code execution on SharePoint servers and is actively exploited in the wild.
2. CISA requires remediation by July 21, 2025.
3. Enable AMSI/Defender AV on SharePoint servers or disconnect public-facing systems.
Microsoft SharePoint Server 0 günlük güvenlik açığı
Yeni keşfedilen güvenlik açığı olan CVE-2025-53770, Microsoft SharePoint Server şirket içi ortamlarda güvenilmeyen veri kusurunun seansize edilmesinden kaynaklanmaktadır.
Bu kritik güvenlik zayıflığı, uygun bir doğrulama olmadan güvenilmeyen verileri festivalize etmenin tehlikeli uygulamasını özellikle ele alan ortak zayıflık numaralandırması CWE-502 altında sınıflandırılmıştır.
Güvenlik açığı, yetkisiz saldırganların bir ağ bağlantısı üzerinden uzaktan keyfi kod yürütmesine izin vererek, internete bakan SharePoint dağıtımları olan kuruluşlar için özellikle tehlikeli hale getirir.
Microsoft SharePoint Server’ın sealizasyon güvenlik açığı, uygulamanın serileştirilmiş veri nesnelerini uygunsuz bir şekilde ele aldığı ve potansiyel olarak kötü amaçlı aktörlerin savunmasız sistem tarafından işlendiğinde kod yürütülmesini tetikleyen belirli yükleri oluşturmasına izin verdiği temel bir güvenlik kusurunu temsil eder.
Bu tür bir güvenlik açığı özellikle ilgilidir, çünkü SharePoint sunucusunun spesifik yapılandırmasına ve maruz kalmasına bağlı olarak kimlik doğrulama gerektirmeden uzaktan kullanılabilir.
CISA, 20 Temmuz 2025’te bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-53770 ekledi ve 21 Temmuz 2025 tarihli son derece sıkı bir iyileştirme son tarihi ile bu kırılganlığın şiddetini ve aktif sömürüsünü gösterdi.
Fidye yazılımı kampanyalarında bu güvenlik açığının kaldırılıp yararlanmadığı bilinmemekle birlikte, iyileştirme için hızlı zaman çizelgesi, CISA’nın bu özel kusuru hedefleyen güvenilir tehdit faaliyeti gözlemlediğini göstermektedir.
Bu kırılganlığın sıfır gün doğası, saldırganların güvenlik yamaları veya kapsamlı hafifletmeler mevcut olmadan önce bu kusurdan yararlanmaya erişimi olduğu anlamına gelir ve kötü niyetli aktörlere önemli bir avantaj sağlar.
Halka açık SharePoint sunucuları olan kuruluşlar en yüksek risk altındadır, çünkü bu sistemler ilk ağ uzlaşmasına ihtiyaç duymadan doğrudan internetten hedeflenebilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Microsoft SharePoint Server Abonelik Edition (şirket içi) Microsoft SharePoint Server 2019 (şirket içi) Microsoft SharePoint Server 2016 (şirket içi) |
| Darbe | Uzak Kod Yürütme |
| Önkoşuldan istismar | Savunmasız bir SharePoint uç noktasına ağ ulaşılabilirliği; Geçerli kullanıcı kimlik bilgileri gerekmez |
| CVSS 3.1 puanı | 9.8 (kritik) |
Aktif sömürüye yanıt olarak, CISA, kuruluşların SharePoint ortamlarında materyal yazılım karşıtı tarama arayüzü (AMSI) entegrasyonu yapılandırmasını ve Microsoft Defender antivirüsünü tüm SharePoint sunucularına dağıtmasını gerektiren özel bir azaltma rehberliği yayınlamıştır.
AMSI entegrasyonunu uygulayamayan kuruluşlar için CISA, resmi hafifletmeler elde edilene kadar, etkilenen etkilenen etkilenen SharePoint ürünlerini internet erişiminden derhal çıkarmanın daha sert bir önlemini önermektedir.
Federal ajanslar, bulut hizmetleri için bağlayıcı operasyonel direktif BOD 22-01 rehberliğine uymalıdır, ancak yeterli azaltma uygulayamayan kuruluşlar, kapsamlı güvenlik güncellemeleri yayınlanana kadar etkilenen ürünlerin kullanımını durdurmayı düşünmelidir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi