Microsoft’un kritik yeni güncellemesi, belirli Çin ulus-devlet tehdit gruplarının şirket içi SharePoint sunucularındaki güvenlik açıklarını aktif olarak kullandığını ortaya koyuyor. Küresel olarak 100’den fazla kuruluşun uzlaşmasını vurgulayan Hackread.com’dan daha önceki bir raporun ardından Microsoft, şimdi müdahalelerin arkasındaki kilit oyuncuları belirledi ve etkilenen tüm SharePoint sürümleri için kapsamlı güvenlik güncellemeleri yayınladı.
Devam eden siber saldırılar, saldırganların sistem sistemlerini kandırmasına izin veren bir sahte güvenlik açığı olan CVE-2025-49706’dan iki farklı sıfır günlük kusurdan yararlanır ve uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2025-49704, kötü amaçlı kodları uzaktan çalıştırmalarını sağlar. Bu kusurlar daha önce vurgulanan CVE-2025-53770 ve CVE-2025-53771 ile ilişkilidir.
Tehdit Oyuncuları ve Saldırı Taktikleri
Microsoft’un Tehdit İstihbarat Birimi, Çin ulus-devlet aktörleri Linen Typhoon, Violet Typhoon ve Storm-2603 olarak izlenen başka bir Çin merkezli grubun bu güvenlik açıklarından yararlandığını doğruladı. Gözlemlenen saldırılar, keşif yapan ve SharePoint sunucularındaki araç tabanı uç noktasına hazırlanmış posta talepleri gönderen tehdit aktörleriyle başlar.
Bu gruplar casusluk, fikri mülkiyet hırsızlığı ve maruz kalan web altyapısını ısrarla hedefleyen olarak bilinir. Saldırılar yaygındır, Crowdstrike 18 Temmuz 2025’ten bu yana 160’dan fazla müşteri ortamında yüzlerce denemeyi gözlemlemektedir.
2012’den beri aktif olan Keten Typhoon, hükümet, savunma ve insan hakları sektörlerinden fikri mülkiyet çalmaya odaklanıyor. 2015’ten beri izlenen Violet Typhoon, genellikle güvenlik açıklarını tarayarak ve kullanarak eski askeri personel, STK ve finansal kurumlara karşı casusluk konusunda uzmanlaşmıştır.
Storm-2603 daha önce Warlock ve Lockbit gibi fidye yazılımlarını dağıtmış olsa da, bu SharePoint istismarlarıyla mevcut hedefleri hala değerlendirilmektedir. İşte bu grupların faaliyetlerinin bir özeti:
1. Line Typhoo
- Çin devlet destekli grup
- Önceden bilinir Hafniyum
- Hedef hükümet, savunma, STK’lar ve eğitime odaklanıyor
- ABD kritik altyapısı ve akademik kurumlara yönelik saldırılarla tanınan
- Dikkate değer etkinlik, sömürülen Microsoft Exchange güvenlik açıklarını içerir (Proxylogon)
2. Menekşe Typhoon
- Çin tehdit oyuncusu
- Önceden bilinir Apt41 (aktiviteye bağlı olarak baryum veya winnti olarak da bilinir)
- Devlet destekli casusluk ve finansal olarak motive olmuş saldırıların bir karışımı ile tanınan
- Hedef sağlık hizmetleri, telekom, yazılım ve oyun endüstrilerine odaklanır
- Dikkate değer etkinlik: Tedarik zinciri uzlaşmaları, geri yüklenen yazılım güncellemelerini içerir
3. Storm-2603
- Çin bağlantılı olduğuna inanılıyor
- “Storm”, Microsoft’un gelişmekte olan veya yapılmamış gruplar için kullandığı geçici bir isimdir
- Microsoft Ürünlerinde Sıfır Gün Güvenlik Açıklarından yararlanmakla bilinir
- Hedef odaklanma, hükümet ve kurumsal sistemleri içerir
- Durum araştırılıyor, ancak erken göstergeler Çin kökenine işaret ediyor
Microsoft’un soruşturmasına göre, saldırganlar, kimlik doğrulamasını atlayabilen kritik IIS makinesi anahtarlarını çalmak için değiştirilmiş spinstall0.aspx dosyaları gibi web mermilerini dağıtıyor ve erken sömürü denemeleri 7 Temmuz 2025’e kadar uzanıyor. Daha önce Shadowserver Foundation tarafından belirtildiği gibi, bu kalıcı arka planlar, bilgisayar korsanlarının güncellendikten sonra bile erişimine izin veriyor.
Acil düzeltmeler ve hafifletme adımları
19 Temmuz 2025’te Microsoft Güvenlik Yanıt Merkezi (MSRC), desteklenen tüm SharePoint Server sürümleri için güvenlik güncellemeleri yayınladı (Abonelik Sürümü, 2019 ve 2016). Bu, daha önce olduğu gibi, SharePoint 2016 güncellemeleri hala beklemede olmuştur. Microsoft, bu güncellemelerin derhal uygulanmasını istemektedir.
Microsoft, yama işlemi dışında, tam modda kötü amaçlı yazılım karşıtı tarama arayüzünün (AMSI) etkinleştirilmesini ve tüm SharePoint sunucularına Microsoft Defender antivirüs veya eşdeğer çözümlerin dağıtılmasını önerir.