Güvenlik araştırmacıları, Microsoft SharePoint Server’da kritik sıfır gün güvenlik açıklarını hedefleyen bir Metasploit Sömürü modülü yayınladı ve kurumsal işbirliği platformları için tehdit ortamında önemli bir artış gösterdi.
Modül, 19 Temmuz 2025’in başlarında vahşi doğada aktif olarak sömürüldüğü keşfedilen CVE-2025-53770 ve CVE-2025-53771 olarak tanımlanan kimlik doğrulanmamış uzaktan kod yürütme kusurları zincirini kullanıyor.
Teknik detaylar ve sömürü zinciri
Rapid7’de güvenlik araştırmacısı Sfewer-R7 tarafından geliştirilen yeni yayınlanan Metasploit modülü, saldırganların kimlik doğrulama gerektirmeden SharePoint’in araç pisti bileşeni aracılığıyla tam sistem uzlaşmasını nasıl sağlayabileceğini gösteriyor.
| CVE kimliği | Tanım | CVSS Puanı | Etkilenen bileşenler |
| CVE-2025-53770 | SharePoint Sunucusu Araç Planı Yasal Eklenmemiş RCE | TBD | SharePoint Server 2019, 2022 |
| CVE-2025-53771 | SharePoint Server Araç Panosu Kimlik Doğrulama Bypass | TBD | SharePoint Server 2019, 2022 |
| CVE-2025-49704 | Orijinal SharePoint Güvenlik Açığı (Yamalı) | TBD | SharePoint Server (birden çok sürüm) |
| CVE-2025-49706 | Orijinal SharePoint Güvenlik Açığı (Yamalı) | TBD | SharePoint Server (birden çok sürüm) |
Güvenlik açıkları, daha önce ele alınan iki güvenlik kusuru olan CVE-2025-49704 ve CVE-2025-49706 için karmaşık yama baypaslarını temsil ederek, karmaşık Web uygulamalarını belirlenmiş rakiplere karşı güvence altına almanın sürekli zorluğunu vurgular.
Sömürü tekniği, tek bir HTTP isteği yoluyla uzaktan kod yürütülmesine izin veren bir seansizasyon saldırısı vektöründen yararlanır.
Teknik belgelere göre, modül MeterPreter Ters Kabukları ve genel komut yürütme özellikleri dahil olmak üzere çeşitli yük türleri sunabilir.
Test gösterileri, SharePoint Server 2019 kurulumlarının başarılı bir şekilde uzlaşmasını göstermektedir ve istismar hedef ortamda sistem düzeyinde ayrıcalıklar elde etmektedir.
Saldırı vektörü özellikle /_layouts/15/toolpane.aspx uç noktasını hedefler, ancak son yamalar bu yolu engellemeye çalışmıştır.
Güvenlik araştırmacıları, bazı kurulumların, özellikle form tabanlı kimlik doğrulaması etkin olan ortamlarda, ilk keşif için /_layouts/15/start.aspx gibi alternatif yaklaşımlar gerektirebileceğini belirtmişlerdir.
Bu metasploit modülünün salınımı, SharePoint ortamlarından yararlanmak isteyen siber suçluların girişini önemli ölçüde düşürüyor.
SharePoint Server, belge yönetimi ve işbirliği için kurumsal ortamlar arasında yaygın olarak konuşlandırılmıştır, bu da bu güvenlik açıklarını özellikle dünya çapında kuruluşlarla ilgili hale getirir.
Sömürünün kime doğrulanmamış doğası, saldırganların geçerli kimlik bilgilerine veya sosyal mühendislik taktiklerine ihtiyaç duymadan sistemleri tehlikeye atabilecekleri anlamına gelir.
Güvenlik testi, modülün SharePoint Server 2019 kurulumlarına karşı etkinliğini doğruladı.
İstismarın keyfi komutlar yürütme ve kalıcı uzaktan erişim oluşturma yeteneği, veri hırsızlığı, fidye yazılımı dağıtım ve kurumsal ağlar içindeki yanal hareket için önemli riskler yaratır.
SharePoint ortamlarını işleten kuruluşlar, bu güvenlik açıklarına maruz kaldıklarını hemen değerlendirmeli ve mevcut güvenlik yamalarını uygulamalıdır.
Microsoft, orijinal CVE-2025-49704 ve CVE-2025-49706 güvenlik açıklarını ele alan güncellemeler yayınlasa da, bu istismarda gösterilen bypass teknikleri ek güvenlik önlemlerinin gerekli olabileceğini düşündürmektedir.
Ağ segmentasyonu, erişim kontrolleri ve SharePoint faaliyetlerinin kapsamlı izlenmesi, en yeni güvenlik açığı varyantları için kapsamlı yamalar mevcut olana kadar temel savunma stratejileridir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now