Dünyanın dört bir yanındaki devlet yetkilileri ve siber güvenlik ekipleri, Microsoft SharePoint’teki kritik güvenlik açıklarını hedefleyen bir siber saldırı dalgasına yanıt veriyor.
Saldırı dalgası, geçen hafta geç saatlerde hızla yükselmeden önce Temmuz ayı başlarında başladı ve devlet kurumlarında, kritik altyapı sağlayıcılarındaki ve diğer SharePoint müşterilerindeki önemli sistemleri etkiledi.
İntranslar, uzaktan kod enjeksiyonunu ve ağ sahtekarlık güvenlik açıklarını birleştiren bir saldırı dizisi olan araç köyünden yararlanıyor. CVE-2025-49704 Ve CVE-2025-49706.
Araştırmacı Khoa Dinh Başlangıçta saldırı zincirini keşfetti ve bu ayın başlarında, Kod beyaz gmbh saldırı zincirini yeniden üretebildi.
WatchTowr CEO’su Benjamin Harris’e göre, saldırılar artmış gibi görünüyor çünkü Microsoft ilk güvenlik açıkları için eksik yamalar yayınladı.
Araştırmacılar Microsoft’u kusurların kullanımı konusunda uyardıktan sonra, şirket geçen hafta geç saatlerde acil bir danışmanlık yayınladı ve izlenen bir güvenlik açığını açıkladı. CVE-2025-53770güvenilmeyen verilerin sazizleşmesini içerir. Microsoft ayrıca, CVE-2025-53771.
Saldırılar, Microsoft SharePoint müşterilerini dünya çapında tehlikeye attı ve Shadowserver Foundation en az üç yüz onaylı uzlaşmayı bildirdi.
Leakix’ten gelen verilere atıfta bulunan Shadowserver, Çarşamba gününden itibaren savunmasız olduğu doğrulanan 424 SharePoint IPS olduğunu bildiriyor. Censys’ten araştırmacılar, maruz kalan 9.717 şirket içi SharePoint sunucularını tespit ettiklerini söylüyor.
Hükümet Etkileri
CISA, hack’lerin birden fazla federal ajansı, eyalet ve yerel yönetim kuruluşlarını tehlikeye attığına dair raporları araştırıyor.
Bir İç Güvenlik Bakanlığı sözcüsü Perşembe günü Cyberecurity Dive’a verdiği demeçte, “CISA, Microsoft ile, etkilenen ajanslar ve kritik altyapı ortakları ile birlikte çalışıyor, eyleme geçirilebilir bilgileri paylaşmak, azaltma çabalarını uygulamak, koruyucu önlemleri uygulamak ve gelecekteki saldırılardan korumak için önleyici tedbirleri değerlendirmek için çalışıyor.
Enerji Bakanlığı, ülkenin nükleer silah stokunu yöneten ajans olan Ulusal Nükleer Güvenlik İdaresi de dahil olmak üzere DOE bileşenlerini etkileyen saldırı ile saldırıya uğradığını doğruladı.
DHS ayrıca, bilgisayar korsanlarının herhangi bir bileşeninden verileri söndürdüğüne dair bir kanıt olmadığını söylemesine rağmen, saldırıya uğradığını da doğruladı.
Washington Post bildirdi Bilgisayar korsanları da Sağlık ve İnsan Hizmetleri Departmanını tehlikeye attı. HHS, siber güvenlik dalışına, SharePoint güvenlik açığı ile ilişkili ancak ek ayrıntılar sağlamadığını aktif olarak “tüm riskleri izleme, tanımlama ve azaltma” olduğunu söyledi.
Saldırıların arkasında kim var
Microsoft, ilk saldırı dalgasına katılan iki Çin destekli ulus devlet aktörü, Linen Typhoon ve Violet Typhoon’u tespit etti. Araştırmacılar, sömürünün 7 Temmuz gibi başlarında başladığı sonucuna varmışlardır.
2012’den beri aktif olan Linen Typhoon, fikri mülkiyet çalmaya odaklandı ve hükümetleri, savunma yüklenicilerini ve insan hakları gruplarını hedef aldı. 2015’ten beri aktif olan Violet Typhoon, esas olarak ABD, Avrupa ve Doğu Asya’daki sivil toplum kuruluşlarına, yüksek öğrenim, medya ve finans şirketlerine odaklanan bir casusluk aktörüdür.
Microsoft, Storm-2603 olarak izlediği üçüncü Çin merkezli bir saldırganın SharePoint kusurlarıyla fidye yazılımı saldırıları yürüttüğünü söyledi. Microsoft’a göre, geçmişte Warlock ve Lockbit fidye yazılımı dağıtan hacker grubu, 18 Temmuz’dan bu yana fidye yazılımı müdahaleleri yapmak için SharePoint güvenlik açıklarını kullanıyor. Grup ayrıca, makine anahtarlarını çalmaya çalışmak için SharePoint kusurlarını kullanıyor, bu da yamalandıktan sonra bilgisayar sistemlerine erişime izin verecek.
Google araştırmacıları, diğer grupların yakın gelecekte kusurlardan yararlanacağını ve bazılarının bunu yapmaya başlamış olabileceğini söyledi.
Azaltma
Microsoft, müşterileri CVE-2025-53770 ve CVE-2025-53771’e tam olarak koruyacağını söylediği güvenlik güncellemeleri yayınladı. Desteklenen ürünler arasında SharePoint 2016, 2019 ve SharePoint Abonelik Sürümü bulunmaktadır.
Şirket, müşterilerinin antimalware tarama arayüz entegrasyonunu yapılandırması ve yükseltmeleri tamamladıktan sonra SharePoint Server ASP.NET makine anahtarlarını döndürmesi ve tüm SharePoint sunucularında İnternet Bilgi Hizmetlerini yeniden başlatması gerektiğini söyledi. Google araştırmacıları, bilgisayar korsanlarının saldırıların ilk aşamasında makine anahtarlarını çaldığını söyledi.
Rapid7’deki araştırmacılar da Bir istismar modülü yayınladı GitHub’da, güvenlik ekiplerinin ortamlarını test etmesine yardımcı olacak CVE-2025-53770 ve CVE-2025-53371 için.
Rapid7 ana güvenlik araştırmacısı Stephen Lesser, “Şu anda kitlesel sömürü meydana geldiğinde, savunucular ortamlarındaki herhangi bir SharePoint sunucusu için derhal harekete geçmeli” dedi. “Normal bir yama döngüsünün gerçekleşmesini beklemeden satıcı yamalarını acil olarak uygulamanızı öneriyoruz.”