Microsoft’un şirket içi SharePoint Server işbirliği aracının iki savunmasız baskısı için yamalar artık mevcuttur ve yöneticiler, tehdit aktörleri aktif olarak “araç kapağı” kusurundan yararlanırken bunları uygulamaya çağırdı.
Yamalar, tehdit aktörlerin uzaktan kod yürütme saldırılarında kullandığı “araç kılıfı” olarak bilinen yakın zamanda ilan edilen CVE-2025-53370 ve CVE-2025-53771 Deserializasyon ve Sahtekarlık Güvenlik Açıklarına Karşı Koruma.
Şu anda, SharePoint Server Abonelik Sürümü ve SharePoint Server 2019 için güvenlik güncellemeleri mevcuttur.
Microsoft, SharePoint 2016 sunucu yamaları henüz mevcut olmadığını söyledi.
Saldırılara karşı korunmak için azaltma tavsiyesi, SharePoint Server’ın desteklenen sürümlerini kullanma ve Temmuz 2025 güvenlik güncellemesi de dahil olmak üzere en son yamaların uygulanması yer alır.
Microsoft ayrıca uygun bir anti-virüs çözeltisi ile uyumsuzluk önleyici tarama arayüzünün (AMSI) etkinleştirilmesi ve doğru şekilde yapılandırılması gerektiğini söyledi; Uç nokta korumasının kullanılması Microsoft tarafından da önerilir.
Yöneticiler ayrıca SharePoint Server ASP.NET makine anahtarlarını, PowerShell betiği cmdlet ile manuel olarak veya merkezi yönetim yoluyla son adım olarak döndürmelidir.
Kâr amacı gütmeyen Shadowserver Vakfı tarafından SharePoint sunucularına bakan İnternet taraması, işbirliği uygulamasının çoğu kurulumunun Amerika Birleşik Devletleri ve Avrupa’da olduğunu ileri sürüyor.
Yayın sırasında, Shadowserver Foundation taraması, Avustralya’da 323 İnternet görünür SharePoint sunucularını ve 10’u Yeni Zelanda’da listeliyor.
Shadowserver Scan, yazılımın savunmasız sürümlerini aramıyor.
Hollanda güvenlik satıcısı Eye, taramalarının düzinelerce savunmasız ve sömürülen SharePoint sunucuları bulduğunu söyledi.
Göz güvenliği, mevcut güvenlik açıklarının 2021’de sömürülenlere benzediğini, ancak şimdi otomatik kabuk düşüşü, tam kalıcılık ve kimlik doğrulaması gerekmeyen modern bir sıfır gün zincirine paketlendiğini söyledi.
Eye Security, “Bu yükler kötü niyetli komutları yerleştirebilir ve sunucu tarafından güvenilir giriş olarak kabul edilir ve kimlik bilgileri gerektirmeden uzaktan kod yürütme zincirini tamamlar.”