Microsoft, şirket içi SharePoint sunucularını en son Wild içi saldırılara karşı korumak için müşteri rehberliğini güncellemeye devam ettikçe, daha fazla güvenlik firması tespit ettikleri hakkında ayrıntıları paylaşmaya başladı.
En ilgi çekici olan Check Point Research, 7 Temmuz’daki ilk sömürü girişimlerini gözlemlediklerini ve hedefin büyük bir Batı hükümeti olduğunu söylüyor.
Bu tarih, sadece araç köyü istismar zincirinin (CVE-2025-49706 + CVE-2025-49704) ekran görüntüsünün yayınlanmasından önce değil, aynı zamanda ek teknik detayların yanı sıra, bu kusurlar için yamaların piyasaya sürülmesinin tarihi.
Güncellenmiş Rehberlik
Microsoft başlangıçta şirket içi SharePoint Server müşterilerini hedefleyen aktif saldırıların CVE-2025-49706 varyantından yararlandığını ifade etse de, CVE-2025-53770, şimdi şunları doğruladı:
(CVE-2025-53770, Microsoft’un güvenlik danışmanlığına göre, sömürülüyor, ancak CVE-2025-53771-yine, danışmanlığına göre-değil.)
Bu arada şirket, Microsoft SharePoint Server Abonelik Sürümü, Microsoft SharePoint Server 2019 ve Microsoft SharePoint Enterprise Server 2016’da hem CVE-2025-53770 hem de CVE-2025-53771’i düzelten güvenlik güncellemeleri yayınladı ve şunları için müşterileri tavsiye ediyor:
- Onları uygulayın
- Uç nokta koruması veya eşdeğer tehdit çözümleri için Microsoft Defender’ı dağıtın
- Antimal Yazılım Tarama Arayüzünü (AMSI) açın ve doğru şekilde yapılandırın ve savunmacı antivirüs gibi bir antivirüs çözümü kullanın ve
- SharePoint Sunucusu ASP.NET MAKİNE KAYI
Bunu yapmadan önce, sunucularının hedeflenip tehlikeye girip getirmediğini kontrol etmelidirler.
Farklı Saldırı Kümeleri
Göz güvenliği, Github’da CVE-2025-53770 için bir konsept sömürü senaryosu için bir konsept sömürü senaryosu da dahil olmak üzere, Pazartesi günü ortaya çıkan en yeniler de dahil olmak üzere, 17 Temmuz’dan bu yana tespit ettikleri farklı saldırı dalgaları ile ilgili uzlaşma göstergelerinin bir listesini güncellemeye devam ediyor.
Trend Micro, Rapid7 ve Bitdefender aynı saldırıları tespit etti. “Saldırganlar, ayrıcalıklı erişim elde etmek için çok faktörlü kimlik doğrulama (MFA) ve tek oturum açma (SSO) dahil kimlik kontrollerini atlıyorlar. İçeri girdikten sonra, duyarlı verileri söndürüyorlar, kalıcı arka planlar dağıtıyorlar ve kriptografik anahtarları çalıyorlar.
Kontrol noktası ve Sentinelone araştırmacıları da başkalarını tespit ettiler.
Daha önce de belirtildiği gibi – ve bir kontrol noktası temsilcisi tarafından bize doğrulandığı gibi – 7 ve 10 Temmuz’da tek sömürü girişimleri ve daha sonra 17 Temmuz’dan itibaren önemli sömürü dalgaları gözlemlediler.
7 Temmuz’daki sömürü girişimi bir Batı hükümetini hedef aldı. 17 Temmuz’da başlayan ve 18 ve 19 Temmuz’da yoğunlaşan dalgalar, ağırlıklı olarak Kuzey Amerika ve Avrupa’da hükümet, yazılım ve telekomünikasyon sektörlerinde özel bir web kabuğu ve hedeflenen kuruluşlar verdi.
İkinci saldırılarda yer alan IP adreslerinden biri, ilgili bir Ivanti EPMM güvenlik açığı zincirine karşı daha önceki sömürü girişimleriyle de ilişkilendirildi.
Sentinelone araştırmacıları, bazıları web kabuklarının dağıtımını içeren üç ayrı saldırı kümesinden sömürü girişimlerini gözlemlediler. (İkinci girişimin sofistike olması, bu saldırının yetenekli bir kırmızı takım emülasyon egzersizi olarak gerçekleştirildiğine inanmasını sağladı ya da “kaçamaklı erişim ve kimlik bilgisi hasatına odaklanan yetenekli bir tehdit aktörünün çalışması”.)
Ayrıca, keşif ve erken aşama sömürü faaliyetlerine girmeye başlayan ilk sömürü dalgasıyla ilgisiz olan devlete uyumlu çok sayıda tehdit aktörünü gözlemlediklerini söylediler.
“Ek olarak, aktörleri de kullanma uygulamalarını toplamak ve test etmek için yıkıcı honeypot ortamlarında duran aktörleri de belirledik, ayrıca bilinen paylaşım platformlarında araç ve tradecraft paylaşımı. Bu topluluklar içinde farkındalık yayıldıkça, savunmasız SharePoint altyapısının daha fazla silahlanması ve sürekli hedeflenmesini bekliyoruz.”
Microsoft’un tehdit istihbarat ekibi bugün “Çin ulus-devlet aktörleri, keten tayfun ve menekşe tayfun” ve başka bir isimsiz Çin tabanlı tehdit aktörünü (Storm-2603 olarak izlenen) gözlemlediğini ve CVE-2025-49704’ün CVE-2025-49704’ü paylaştığını ve daha da fazlalık göstergelerini paylaştığını ve daha da fazla gözlemlediğini söyledi.
Microsoft’un Temmuz 2025 yaması Salı yayınlanmasından bu yana şirket içi SharePoint Server örneklerini güncellemeyen kuruluşlar, bunları tehlikeye atmalı ve keşfedilen müdahaleleri araştırmak ve iyileştirmek için harekete geçmelidir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!