Saldırganlar, Microsoft’un bu ayın başlarında yamaladığı bir SharePoint uzaktan kod yürütme kırılganlığının (CVE-2025-53770) bir sıfır gün varyantı (CVE-2025-53770) kullanıyor.
CVE-2025-53770, savunmasız şirket içi SharePoint sunucularına bir arka kapı yerleştirmek ve sistemlerin güvenlik anahtarlarını kapmak ve saldırganların makinelerin tam olarak ele geçirilmesini sağlayacak şekilde kullanılmaktadır.
Şu anda bu güvenlik deliğini takmak için herhangi bir yama yoktur, ancak Microsoft, şirket içi SharePoint sunucularını çalıştıran müşterilerin, SharePoint’e Antimal Yazılım Tarama Arayüzü (AMSI) entegrasyonunu (AMSI) entegrasyonunu tüm SharePoint sunucularına dağıtarak saldırganların güvenlik açığından yararlanmasını engelleyebileceğini söylüyor.
Microsoft, “AMSI entegrasyonu, SharePoint Server 2016/2019 için Eylül 2023 Güvenlik Güncellemesi ve SharePoint Server Abonelik Sürümü için 23H2 özellik güncellemesinde varsayılan olarak etkinleştirildi” dedi.
“AMSI’yi etkinleştirmek bir seçenek değilse, SharePoint sunucusundan internete erişimi kaldırmalısınız. Ayrıca, eksploit sonrası etkinliği algılamak ve engellemek için Defender’ı uç nokta için dağıtmanızı öneririz.”
CVE-2025-53770 Hakkında
CVE-2025-53770, SharePoint’in güvenilmeyen verilerin sazelleştirilmesinden kaynaklanır, kullanıcı etkileşimi gerekmeden kimlik doğrulanmamış uzaktan kod yürütülmesine yol açabilir ve şirket içi etkiler:
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Enterprise Server 2016 ve
- Microsoft SharePoint Server Abonelik Sürümü
Microsoft SharePoint, Microsoft 365’in (yani SharePoint Online) bir parçası olarak savunmasız değildir.
CVE-2025-53770, CVE-2025-49706’nın bir varyantı, CVE-2025-49704, “araç kıyısı” nı, Viettel Cyber Güvenlik Araştırmacılarının gösterdiği ve Berlin’de gösterilen bir saldırı olan “Araç Karakolu” ile zincirlenmiş bir kimlik doğrulama baypası kırılganlığıdır.
Ne yazık ki, White GmbH araştırmacıları, araç kabı saldırısı için konsept istismarının bir ekran görüntüsünü yayınlayan ve ek teknik detayları paylaşan diğer araştırmacılar, saldırganların CVE-2025-49706’nın bir varyantını bulmaları ve savunmasız internet-yüzeysel sunucuları aramaya ve kullanmaya başlamaları için yeterliydi.
CVE-2025-53770 Vahşi doğada sömürü
Hollanda güvenlik kıyafeti göz güvenliği, sıfır günün en az 18 Temmuz’dan beri aktif olarak sömürüldüğünü söylüyor.
“Ekibimiz etkilenen sistemleri incelemeye başladığında, olağan şüphelileri bulmayı bekledik: komut yürütme, dosya yüklemeleri veya yanal hareket için tasarlanmış standart web kabukları. Bunun yerine, keşfettiğimiz daha ince ve tartışmasız daha tehlikeliydi: gizli bir spinstall0.aspx Tek amacı, basit bir GET isteği kullanarak SharePoint sunucusundan şifreleme sırlarını çıkarmak ve sızdırmak olan dosya ”diye paylaştılar.
“Bu, tipik webshell’iniz değildi. Etkileşimli komutlar, ters kabuklar veya komut ve kontrol mantığı yoktu. Bunun yerine, sayfa dahili .NET yöntemlerini validationKey ve DecryptionKey de dahil olmak üzere SHAREPOINT sunucusunun MachineKey yapılandırmasını okumaya davet etti. Bu anahtarlar, geçerli __ViewState yükleri oluşturmak için gereklidir ve yürürlükte olan ecpintion için etkili bir şekilde erişim için gereklidir.
Göz güvenliği, ilk uzlaşmayı tespit ettikten sonraki birkaç saat içinde, düzinelerce sunucunun “aynı yükü aynı filepatta kullanma” ı kullandığını ve bulgularını ulusal sertifikalara özel olarak açıklamaya başladıklarını ve Avrupa’daki dünyayı ve kuruluşları etkilediğini söyledi.
Göz güvenliği Pazar günü yaptığı açıklamada, ek kurban örgütlerinin Hollanda Güvenlik Açığı Açıklama Enstitüsü tarafından belirlendiğini söyledi.
Ne yapalım?
Şirket içi SharePoint Server makinelerini internetten çıkaran veya AMSI entegrasyonunu etkinleştiren ve savunucusu AV’yi yalnızca intial saldırı dalgasının ardından sunucuların günlüklerini uzlaşma göstergeleri için kontrol etmelidir.
Göz güvenliği, IOC’lerin bir listesini derledi (ve sürekli olarak güncelliyor) ve kuruluşların Microsoft’un müşteri rehberliğini takip etmelerini tavsiye etti. Palo Alto Networks de bazı IOC’leri paylaştı.
Uzlaşma kanıtı bulan kuruluşlar, etkilenen sunucuları izole etmeli/kapatmalı ve kötü niyetli ASPX aracılığıyla ortaya çıkabilecek tüm kimlik bilgilerini ve sistem sırlarını yenilemelidir.
Göz güvenliği, “Bu anahtarlar saldırganların sunucu yamalandıktan sonra bile kullanıcıları veya hizmetleri taklit etmesine izin veriyor. Bu nedenle tek başına yama yapmak sorunu çözmez, kötü niyetli aktör tarafından oluşturulabilecek tüm gelecek jetonları geçersiz hale getiren sırları döndürmeniz gerekir.
Bazı kuruluşların, uzlaşmayı araştırmaya ve içermeye yardımcı olmak için dış olay müdahale uzmanlarını çağırmaları gerekebilir.
Hollanda güvenlik kıyafeti, “Saldırganlar, yeniden başlatmalardan ve güncellemelerden kurtulan geri dönüşler veya değiştirilmiş bileşenler aracılığıyla kalıcılığı koruyabilirler. Bu yüzden lütfen şüpheniz varsa uzman olay müdahale hizmetlerine danışın” dedi ve SharePoint’in genellikle görünüm, ekipler ve onedrive gibi temel hizmetlere bağlandığı için, bir ihlal, şifre hasatına ve ağdaki lateral harekete hızla yol açabileceği için.
CISA, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-53770 ekledi ve tüm ABD Federal Sivil Yürütme Şubesi (FCEB) ajanslarına potansiyel olarak etkilenen sistemleri tanımlamaları ve 21 Temmuz’a (yani yarın) hafifletmeler uygulamaları için talimat verdi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!