Microsoft, “Araç Koyusu” saldırılarında dünya çapında hizmetleri tehlikeye atan CVE-2025-53770 ve CVE-2025-537771 olarak izlenen iki sıfır günlük güvenlik açıkları için acil SharePoint güvenlik güncellemeleri yayınladı.
Mayıs ayında, Berlin PWN2OWN Hacking yarışması sırasında, araştırmacılar Microsoft SharePoint’te uzaktan kod yürütülmelerini sağlayan “Araç Kazası” adlı sıfır gün güvenlik açığı zincirinden yararlandı.
Bu kusurlar, Temmuz Yaması Salı güncellemelerinin bir parçası olarak sabitlendi; Bununla birlikte, tehdit aktörleri Microsoft’un yamalarını önceki kusurlar için atlayan iki sıfır günlük güvenlik açığı keşfedebildiler.
Bu kusurları kullanarak, tehdit aktörleri dünya çapında SharePoint sunucularına araç köyü saldırıları yürütüyor ve şu ana kadar 54’den fazla kuruluşu etkiliyor.
Acil durum güncellemeleri yayınlandı
Microsoft, hem CVE-2025-53770 hem de CVE-2025-5371 kusurlarını düzelten Microsoft SharePoint abonelik sürümü ve SharePoint 2019 için acil durum bant dışı güvenlik güncellemelerini yayınladı.
Microsoft hala SharePoints 2016 yamaları üzerinde çalışıyor ve henüz mevcut değiller.
“Evet, CVE-2025-53770 için güncelleme, CVE-2025-49704 güncellemesinden daha sağlam koruma içeriyor. CVE-2025-53771 için güncelleme, CVE-2025-49706 güncellemesinden daha sağlam korumalar içeriyor.”
Microsoft SharePoint yöneticileri, sürüme bağlı olarak aşağıdaki güvenlik güncellemelerini derhal yüklemelidir:
- Microsoft SharePoint Server 2019 için KB5002754 güncellemesi.
- Microsoft SharePoint aboneliği sürümü için KB5002768 güncellemesi.
- Microsoft SharePoint Enterprise Server 2016 güncellemesi henüz yayınlanmadı.
Güncellemeleri yükledikten sonra Microsoft, yöneticileri aşağıdaki adımları kullanarak SharePoint makine anahtarlarını döndürmeye çağırıyor:
SharePoint yöneticileri, aşağıdaki iki yöntemden birini kullanarak makine anahtarlarını döndürebilir:
Powershell üzerinden manuel olarak
PowerShell kullanarak makine anahtarlarını güncellemek için güncelleme-spmachineKey cmdlet kullanın.
Merkezi Yönetici aracılığıyla manuel olarak
Aşağıdaki adımları gerçekleştirerek makine anahtarı döndürme zamanlayıcı işini tetikleyin:
- Gezin Merkezi yönetim alan.
- Gidip gelmek İzleme -> İş tanımını gözden geçirin.
- Araştırmak Makine Anahtarı Rotasyon İşi ve seç Şimdi koş.
- Rotasyon tamamlandıktan sonra IIS’yi yeniden başlatın IISreset.exe kullanan tüm SharePoint sunucularında.
Ayrıca, kötü amaçlı dosyaların veya sömürü denemelerinin varlığı için günlüklerinizi ve dosya sisteminizi analiz etmeniz önerilir.
Bu şunları içerir:
- C: \ progra ~ 1 \ Common ~ 1 \ micros ~ 1 \ weber ~ 1 \ 16 \ Template \ layouts \ spinstall0.aspx dosyası.
- IIS günlükleri _Layouts/15/toolpane.aspx? DisplayMode = edit & a =/toolpane.aspx ve _layouts/signout.aspx’in HTTP yönlendiricisine bir yayın isteği gösteriyor.
Microsoft, spinstall0.aspx dosyasının sunucunuzda oluşturulup oluşturulmadığını kontrol etmek için aşağıdaki Microsoft 365 Defender sorgusunu paylaştı.
eviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Dosya varsa, tehdit aktörlerinin diğer cihazlara yayılmamasını sağlamak için ihlal edilen sunucuda ve ağınızda tam bir araştırma yapılmalıdır.
CISOS, tahta alım almanın bulut güvenliğinin iş değerini nasıl yönlendirdiğine dair net ve stratejik bir bakışla başladığını biliyor.
Bu ücretsiz, düzenlenebilir yönetim kurulu raporu güvertesi, güvenlik liderlerinin risk, etki ve öncelikleri açık iş açısından sunmalarına yardımcı olur. Güvenlik güncellemelerini anlamlı konuşmalara dönüştürün ve toplantı odasında daha hızlı karar verme.