Microsoft SharePoint sunucusunda kritik bir güvenlik açığı, “aktif, büyük ölçekli” bir sömürü kampanyasının bir parçası olarak silahlandırılmıştır.
Sıfır gün kusuru, CVE-2025-53770 (CVSS skoru: 9.8), Microsoft SharePoint Server’da, Tech devi tarafından Temmuz 2025 Yaması Salı güncellemelerinin bir parçası olarak ele alınan bir sahtekarlık hatası olan CVE-2025-49706 (CVSS puanı: 6.3) bir varyantı olarak tanımlanmıştır.
Microsoft, 19 Temmuz 2025’te yayınlanan bir danışmada, “Şirket içi Microsoft SharePoint Server’da güvenilmeyen verilerin sazelleştirilmesi, yetkisiz bir saldırganın bir ağ üzerinden kod yürütmesine izin veriyor.” Dedi.
Windows üreticisi ayrıca sorunu çözmek için kapsamlı bir güncelleme hazırladığını ve tamamen test ettiğini belirtti. Viettel Cyber Security, trend Micro’nun Sıfır Günü Girişimi (ZDI) aracılığıyla kusuru keşfetmek ve raporlamak için kredilendirdi.
Cumartesi günü yayınlanan ayrı bir uyarıda Redmond, şirket içi SharePoint Server müşterilerini hedefleyen aktif saldırıların farkında olduğunu, ancak Microsoft 365’teki SharePoint Online’ın etkilenmediğini vurguladı.
Resmi bir yamanın yokluğunda Microsoft, müşterileri SharePoint’e Antimal Yazılım Tarama Arayüzü (AMSI) entegrasyonunu yapılandırmaya ve Defender AV’yi tüm SharePoint sunucularında dağıtmaya çağırıyor.
AMSI entegrasyonunun SharePoint Server 2016/2019 için Eylül 2023 Güvenlik Güncellemesi ve SharePoint Server Abonelik Sürümü için 23H2 özellik güncellemesinde varsayılan olarak etkinleştirildiğini belirtmek gerekir.
AMSI’yi etkinleştiremeyenler için, bir güvenlik güncellemesi mevcut olana kadar SharePoint sunucusunun internetten bağlantısı kesilmesi önerilir. Daha fazla koruma için kullanıcıların, eksploit sonrası etkinliği tespit etmek ve engellemek için uç nokta için defans oyuncusu dağıtmaları önerilir.
Açıklama, göz güvenliği ve Palo Alto Networks Birimi 42, duyarlı örneklerde keyfi komuta yürütmesini kolaylaştırmak için SharePoint’te bir kod enjeksiyon kusuru olan CVE-2025-49706 ve CVE-2025-49704 (CVSS skoru: 8.8) zincirleme saldırıları uyardı. İstismar zinciri araç köyü kodlanmıştır.
Ancak CVE-2025-53770’in CVE-2025-49706’nın bir “varyantı” olduğu göz önüne alındığında, bu saldırıların ilişkili olduğundan şüpheleniliyor.
Kötü niyetli etkinlik, daha sonra kalıcı erişimi sürdürmek için validationKey ve DeRyptionKey de dahil olmak üzere SharePoint Server’ın MachineKey yapılandırmasını çalmak için kullanılan PowerShell üzerinden ASPX yüklerinin teslim edilmesini içerir.
Hollanda Siber Güvenlik Şirketi, bu anahtarların geçerli __ViewState yükleri oluşturmak için çok önemli olduğunu ve bunlara erişim kazanmanın, kimlik doğrulamalı SharePoint isteğini etkili bir şekilde bir uzak kod yürütme fırsatına dönüştürdüğünü söyledi.
Hacker News’e yaptığı açıklamada, “Hala kitlesel istismar dalgalarını belirliyoruz.” Dedi. Diyerek şöyle devam etti: “Bu, rakipler bu uzaktan kod yürütülmesini hızla kullanarak yanal olarak hareket ettirdikçe büyük bir etkiye sahip olacak.”
Diyerek şöyle devam etti: “SharePoint sunucularındaki kötü niyetli web kabuğunu belirlediğimiz için ihlal edilen yaklaşık 75 kuruluşu bilgilendirdik. Bu grupta dünyadaki büyük şirketler ve büyük hükümet organları var.”
Microsoft’un aktif sömürüyü yansıtacak şekilde CVE-2025-49706 ve CVE-2025-49704 için tavsiyelerini henüz güncellemediğini belirtmek gerekir. Ayrıca daha fazla açıklama için şirkete ulaştık ve tekrar duyarsak hikayeyi güncelleyeceğiz.
(Hikaye gelişiyor. Daha fazla ayrıntı için lütfen tekrar kontrol edin.)