Pazar günü Microsoft, SharePoint’te aktif olarak sömürülen bir güvenlik kusuru için güvenlik yamaları yayınladı ve ayrıca “daha sağlam koruma” ile ele alındığını söylediği başka bir güvenlik açığının ayrıntılarını yayınladı.
Teknoloji devi, “Temmuz Güvenlik Güncellemesi tarafından kısmen ele alınan güvenlik açıklarından yararlanarak şirket içi SharePoint Server müşterilerini hedefleyen aktif saldırıların farkında olduğunu” kabul etti.
CVE-2025-53770 (CVSS Puanı: 9.8), sömürülen güvenlik açığı izlendikçe, Microsoft Sharepoint sunucusunun şirket içi sürümlerinde güvenilmeyen verilerin seansize edilmesi nedeniyle ortaya çıkan bir uzaktan kod yürütme vakası ile ilgilidir.
Yeni açıklanan eksiklik, SharePoint’te bir sahte kusurdur (CVE-2025-53771, CVSS puanı: 6.3). Anonim bir araştırmacı, hatayı keşfetmek ve raporlamakla tanınmıştır.
Microsoft, 20 Temmuz 2025’te yayınlanan bir danışmada, “Bir yol adının Microsoft Office SharePoint’teki kısıtlı bir dizine (‘yol geçiş’) uygunsuz sınırlandırılması, yetkili bir saldırganın bir ağ üzerinde sahte bir performans sergilemesine izin veriyor.” Dedi.
Microsoft ayrıca, CVE-2025-53770 ve CVE-2025-53771’in, uzak kod yürütme elde etmek için zincirlenebilen CVE-2025-49704 ve CVE-2025-49706 tarafından belgeleyen diğer iki SharePoint güvenlik açıkıyla ilişkili olduğunu kaydetti. Araç kılıfı olarak adlandırılan istismar zinciri, şirketin Salı günkü güncellemesinin bir parçası olarak yamalandı.
Windows Maker, “CVE-2025-53770 güncellemesi, CVE-2025-49704 güncellemesinden daha sağlam koruma içeriyor.” Dedi. “CVE-2025-53771 için güncelleme, CVE-2025-49706 güncellemesinden daha sağlam koruma içeriyor.”
Microsoft’un daha önce CVE-2025-53770’i CVE-2025-49706 varyantı olarak karakterize ettiğini belirtmek gerekir. Bu tutarsızlık hakkında yorum yapmak için ulaşıldığında, bir Microsoft sözcüsü Hacker News’e “Müşterilere güncellemeler almaya öncelik verilirken, gerektiğinde herhangi bir içerik yanlışlığı da düzeltir.”
Şirket ayrıca, yayınlanan mevcut içeriğin doğru olduğunu ve önceki tutarsızlığın şirketin müşteriler için rehberliğini etkilemediğini söyledi.
Her iki belirlenen kusur da yalnızca şirket içi SharePoint sunucuları için geçerlidir ve Microsoft 365’te SharePoint Online’ı etkilemez. Sorunlar aşağıdaki sürümlerde (şimdilik) ele alınmıştır – –
Potansiyel saldırıları azaltmak için müşterilerin –
- Şirket içi SharePoint Server’ın desteklenen sürümlerini kullanın (SharePoint Server 2016, 2019 ve SharePoint Abonelik Sürümü)
- En son güvenlik güncellemelerini uygulayın
- Antimal Yazılım Tarama Arayüzünün (AMSI) açık olduğundan emin olun ve optimal koruma için tam modu etkinleştirin ve savunmacı antivirüs gibi uygun bir antivirüs çözeltisi
- Uç nokta koruması veya eşdeğer tehdit çözümleri için Microsoft Defender’ı dağıtın
- SharePoint Sunucusu ASP.NET MAKİNE KAYI
Microsoft, “Yukarıdaki en son güvenlik güncellemelerini uyguladıktan veya AMSI’yi etkinleştirdikten sonra, müşterilerin SharePoint Server ASP.NET makine anahtarlarını döndürmesi ve tüm SharePoint sunucularında IIS’yi yeniden başlatması çok önemlidir.” Dedi. “AMSI’yi etkinleştiremiyorsanız, yeni güvenlik güncellemesini yükledikten sonra anahtarlarınızı döndürmeniz gerekecektir.”
Göz güvenliğinin Hacker News’e bankalar, üniversiteler ve devlet kuruluşları da dahil olmak üzere en az 54 kuruluşun tehlikeye atıldığını söylediği gibi gelişme geliyor. Şirkete göre, aktif sömürünün 18 Temmuz civarında başladığı söyleniyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), kendi adına, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının 21 Temmuz 2025 yılına kadar düzeltmeleri uygulamasını gerektiren bilinen sömürülen güvenlik açıkları (KEV) kataloğuna CVE-2025-53770 ekledi.
Hükümet, okullar, hastaneler de dahil olmak üzere sağlık hizmetleri ve büyük işletme şirketleri derhal risk altında olduğunu söyledi.
Hacker News’e verdiği demeçte, “Saldırganlar, ayrıcalıklı erişim elde etmek için MFA ve SSO da dahil olmak üzere kimlik kontrollerini atlıyorlar.” “İçeri girdikten sonra, hassas verileri püskürtüyorlar, kalıcı arka kapıları dağıtıyorlar ve kriptografik anahtarlar çalıyorlar. Saldırganlar, sistemlere girmek için bu güvenlik açığından yararlandı ve zaten dayanaklarını kuruyorlar.
“İnternete maruz kalan şirket içi SharePoint’iniz varsa, bu noktada tehlikeye atıldığınızı varsaymalısınız. Yamaların tek başına tehdidi tam olarak tahliye etmek için yetersizdir. Bunu, SharePoint’in ofis, ekipler, onedrive ve outlook gibi hizmetleri de dahil olmak üzere, Microsoft’un platformu ile derin entegrasyonu, tüm bilgiyi kapsayan tüm bilgileri açığa çıkarmaz.
Siber güvenlik satıcısı, onu yüksek aralıklı, yüksek acil bir tehdit olarak sınıflandırdı ve şirket içi Microsoft SharePoint sunucularını çalıştıran kuruluşları, gerekli yamaları derhal yürürlüğe koymaya, tüm kriptografik materyalleri döndürmeye ve olay müdahale çabalarına katılmaya çağırdı.
Sikorski, “Anında, bant yardımı bir düzeltme, bir yama bulunana kadar Microsoft SharePoint’inizi internetten çıkarmak olacaktır.” “Yanlış bir güvenlik duygusu, uzun süreli maruz kalmaya ve yaygın bir uzlaşmaya neden olabilir.”
(Bu gelişmekte olan bir hikaye. Daha fazla ayrıntı için lütfen tekrar kontrol edin.)