Daha önce bilinmeyen iki sıfır gün güvenlik açıkları içinde Microsoft SharePoint Server (şirket içi) son derece koordineli bir casusluk kampanyasının bir parçası olarak vahşi doğada aktif olarak sömürülüyor. Microsoft bu saldırıları Çin tabanlı apt aktörlerive en azından 75 Organizasyon Dünya çapında ihlalleri doğruladı.
Kusurlar, olarak tanımlanan CVE-2025-53770 Ve CVE-2025-53771olanak vermek Yetkısız Uzak Kod Yürütme (RCE), saldırganlara SharePoint sunucuları ve daha geniş dahili altyapı üzerinde tam kontrol sağlıyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (Cisa) bir acil direktiftüm federal ortamlarda derhal yama ve tehdit avını zorunlu kılmak.
İstismar zincirinin teknik analizi
Güvenlik Açığı Mekaniği
Her iki CVE, HTTP isteklerinde SharePoint meta verilerinin uygunsuz doğrulanması ve güvensiz ayrıştırılmasından kaynaklanmaktadır:
- CVE-2025-53770: SharePoint’in saldırgan tarafından sağlanan nesneleri sazipleştirmesine neden olan hatalı biçimlendirilmiş HTTP sonrası istekleri kullanır.
- CVE-2025-53771: İzin kontrollerini atlar ve ayrıcalık yanlış yapılandırma yoluyla arka uç hizmet artışını tetikler.
İstismar, saldırganların şunları yapmasına izin verir:
- SharePoint’in Hizmet Hesabı bağlamında kodu yürüt
- Web Kabuklarını Bırakın
- NTLM jetonlarını, çerezleri ve verileri dışarı atın
- Jeton taklidi veya kimlik bilgisi boşaltma yoluyla ayrıcalıkları artırın
Sömürü akışı (ihlalin anatomisi)
- İlk temas
Saldırgan, maruz kalan bir SharePoint sitesini hedefler ve savunmasız bir uç noktaya kötü niyetli bir yazı yükü gönderir (örn.,_layouts/15/). - Yük dağıtım
Talep, güvenli olmayan seansizasyonu tetikleyen ve keyfi komutları yürüten gömülü kodlanmış nesneleri içerir. sistem düzeyinde ayrıcalıklar. - Kalıcılık oluşturmak
SharePoint Uygulama Dizini’nin altına bir web kabuğu (China Chopper veya Custom Droper) konuşlandırılır. - İç keşif
Saldırgan yanal olarak hareket eder WMI– Psexecveya yerli Powershell. Active Directory Etki Alanı numaralandırması ve anahtar çıkarma işlemi yapın. - Defiltrasyon ve temizleme
Hassas dosyalar ve kimlik bilgileri çıkarılır ve günlükler genellikle gizlenmiş toplu komut dosyaları kullanılarak veya üzerinden temizlenirwevtutil.
Atıf ve Tehdit Oyuncu Davranışı
Microsoft Tehdit İstihbaratı saldırıyı ilişkilendirir Üç Çin Ulus-Devlet Grubu:
| Uygun grup | Etkinlik Özeti |
|---|---|
| Storm-0866 | SharePoint aracılığıyla özel kötü amaçlı yazılım seti ve gelişmiş kalıcılık |
| Storm-1200 | Kobalt Strike ve Mimikatz Sıkış sonrası kullanır |
| Storm-1359 | Yasal ve finansal firmaları meşru hizmet sağlayıcıları aracılığıyla hedefler |
Gözlenen taktikler şunları içerir:
- Kullanılmak YAŞAM YAŞAM İKİ KADAR (LOLBINS):
certutil–msbuild–powershell - Kötüye kullanma Servis jetonları ve SharePoint güvenleri
- Dağıtım Hafıza Yerleşik İmplantları EDRS’den kaçmak için
Küresel etki
Mağdur kuruluşlar şunları içerir:
- ABD, Avrupa ve Asya’daki hükümet bakanlıkları
- Bulut Altyapısı ve DevOps Servis Sağlayıcıları
- Ulusal Hukuk Firmaları ve Finans Sektörü Oyuncuları
Onaylanmış ihlaller şovu:
- Çalıntı belgeler, şifreler ve oturum çerezleri
- Jeton taklidi daha geniş alan uzlaşmasına yol açar
- Kullanılmak Bulut Konektörleri Hibrid Azure-AD ortamlarına döndürmek için
Uzlaşma Göstergeleri (IOCS)
Eserler:
- Dosyalar:
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\TEMPLATE\LAYOUTS\ - Beklenmedik
.aspxveya.cssayfa - SharePoint çalışma zamanı anahtarları altında kayıt defteri değişiklikleri
Davranışsal Göstergeler:
w3wp.exeyumurtlamapowershell.exeveyacmd.exemsbuild.exeGiden Bağlantılar Yapmak- HTTP Trafiği, biten alan adlarına
.cn–.tkveya olağandışı ASN’lerde IP’leri kullanmak
Savunma önerileri
Acil Beklentiler:
- Gecikmeden Microsoft’un Temmuz 2025 yamasını SharePoint için dağıtın
- Mesajlar için HTTP günlüklerini inceleyin
_layouts/15/ - Şüpheli nesne oluşturma veya ayrıcalık artışları için yönetici etkinlik günlüklerini denetleyin
Sertleştirme Eylemleri:
- SharePoint yönetici arayüzlerini dahili IP aralıklarıyla kısıtlayın
- Zorlamak MFA ve SharePoint erişim için koşullu erişim
- Kullanmak Dosya bütünlüğü izleme (FIM)
.aspx–.dllve yapılandırma dosyaları - Bellekte web kabuğu davranışını tespit etmek için Yara veya Sigma kurallarını dağıtın
Bilgi güvenliği uzmanı, şu anda risk altyapı uzmanı ve araştırmacı olarak çalışmaktadır.
15 yıllık risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları.