Shadowserver Foundation’ın yeni bulgularına göre, Microsoft SharePoint sunucularının internet tabanlı saldırılara büyük bir maruz kalması tespit edildi, 17.000’den fazla sunucu maruz kaldı ve 840 kritik sıfır gün güvenlik açığı CVE-2025-53770’e karşı savunmasız.
Araştırmacılar tarafından “araç kepçe” olarak adlandırılan güvenlik açığı, 9.8 kritik bir CVSS puanı taşır ve kimlik doğrulanmamış saldırganların şirket içi SharePoint sunucularında uzaktan keyfi kod yürütmesine izin verir. En endişe verici bir şekilde, müfettişler zaten aktif web kabuklu en az 20 sunucu tanımladılar ve bu da başarılı uzlaşmalar olduğunu gösterdi.
Microsoft saldırıları üç Çinli tehdit aktörüne bağladı: Keten Typhoon (APT27), Violet Typhoon (APT31) ve Storm-2603. Sömürü kampanyası 7 Temmuz 2025’ten beri aktif ve araştırmacılar ilk keşiften sonra hızlı bir yükseliş gözlemliyorlar.
İlk olarak 18 Temmuz’daki saldırıları bildiren göz güvenliği, hükümet, sağlık, finans ve eğitim de dahil olmak üzere birçok sektörde 400’den fazla mağdur kuruluşunu doğruladı.
Kapsam çok daha büyük görünüyor, uzmanlar saldırıların gizli doğası nedeniyle “gerçek sayının neredeyse kesinlikle daha yüksek” olduğunu söyledi.
Mağdurlar arasında devlet kurumları
Enerji Bakanlığı Ulusal Nükleer Güvenlik İdaresi, İç Güvenlik Bakanlığı, Sağlık ve İnsan Hizmetleri Bakanlığı ve Eğitim Bakanlığı da dahil olmak üzere birçok ABD federal ajansı mağdur olarak onaylanmıştır. Eyalet ve yerel yönetim kurumları da ülke çapında etkilenmiştir.
Saldırılar, kimlik doğrulamasını tamamen atlayan zincirli bir güvenlik açığı dizisinden yararlanır. Saldırganlar, genellikle “spinstall0.aspx” ve varyantlar adı verilen kötü amaçlı webshell’leri dağıtarak SharePoint’in araç pisti uç noktasına hazırlanmış posta istekleri gönderir.
Bu kabuklar, saldırganların ASP.NET makine tuşlarını çalmasını sağlar ve yama yaptıktan sonra bile kalıcı erişim sağlar.
İlgili Çinli gruplardan biri olan Storm-2603, Warlock fidye yazılımını tehlikeye atılan sistemlere dağıttığı ve tehdidi operasyonel bozulmaya veri hırsızlığının ötesine yükselttiği gözlemlendi.
Grup, kimlik bilgisi hasat için Mimikatz ve Psexec gibi yanal hareket araçları da dahil olmak üzere sofistike teknikler kullanıyor.
Microsoft, desteklenen tüm SharePoint sürümleri için acil durum yamaları yayınladı, ancak uzmanlar tek başına yama yapmanın yetersiz olduğunu vurguluyor. Kuruluşlar makine anahtarlarını döndürmeli, kötü amaçlı yazılım tarama arayüzünü (AMSI) etkinleştirmeli ve kapsamlı güvenlik değerlendirmeleri yapmalıdır.
CISA, kritik altyapıya yönelik tehdidin ciddiyetinin altını çizen, acil bir iyileştirme son tarihi olan bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-53770 ekledi.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches