Dünya çapında binlerce kuruluş, Microsoft SharePoint sunucularını hedefleyen aktif siber saldırılarla karşı karşıya, iki kritik güvenlik açığı yoluyla acil devlet uyarıları ve acil durum yamaları yönlendiriyor.
Microsoft hafta sonu, tehdit aktörlerinin şirket içi SharePoint sunucularında, CVE-2025-53770 ve CVE-2025-53771 olarak adlandırılan iki sıfır günlük güvenlik açıkından aktif olarak yararlandığını doğruladı.
Güvenlik araştırmacıları tarafından “araç kupası” olarak adlandırılan saldırılar, ABD federal ajansları, üniversiteler ve enerji şirketleri de dahil olmak üzere 18 Temmuz’dan bu yana düzinelerce kuruluştan ödün verdi.
Birincil güvenlik açığı olan CVE-2025-53770, 9.8 kritik bir CVSS skoru taşır ve güvenilmeyen verilerin güvensiz seansize edilmesi yoluyla kimlik doğrulanmamış uzaktan kod yürütülmesini sağlar.
Refakatçi kusuru, CVE-2025-53771 (CVSS 6.3), saldırganların HTTP başlıklarını manipüle ederek, özellikle SharePoint’in oturum açma sayfasına işaret eden dövme referans başlıkları ile istekleri hazırlayarak kimlik doğrulamasını atlamasına izin verir.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 20 Temmuz’da bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-53770 ekledi ve federal ajansların 24 saat içinde hafifletme uygulamasını gerektiren
Yönetici Yönetici Müdür Yardımcısı Chris Butera, CISA’nın güvenilir bir ortak tarafından uyarıldığını ve hemen Microsoft ile koordine edildiğini doğruladı.
Check Point Research’te tehdit istihbarat direktörü Lotem Finkelstein, “Acil ve aktif bir tehdide tanık oluyoruz” diye uyardı. “Ekibimiz 7 Temmuz’dan bu yana hükümet, telekom ve teknoloji sektörlerinde düzinelerce uzlaşma girişimini doğruladı.”
Güvenlik araştırmacıları, dünya çapında 10.000’den fazla SharePoint sunucusunun savunmasız kaldığını ve ABD, Hollanda, Birleşik Krallık ve Kanada’daki en yüksek konsantrasyonlara sahip olduğunu tahmin ediyor.
İlk olarak aktif sömürüyü açıklayan göz güvenliği, küresel olarak 8.000’den fazla SharePoint sunucusunun tarandığını ve birden fazla dalgada devam eden saldırıların kanıtını bulduğunu bildirdi.
Araç kağıdı istismar zinciri, SharePoint’in savunmasız araç kutusuna özel olarak hazırlanmış yazı istekleri ile başlayarak sofistike taktikler gösterir.
Saldırganlar, yönlendirmeyi atlamak için yönlendirici başlığını manipüle edin, ardından genellikle “adlı kötü niyetli ASPX dosyalarını yükleyin”spinstall0.aspx”Sunucudan kritik kriptografik anahtarlar çıkarmak için.
Bu çalınan validationKeyler ve şifre çözmekeyler, saldırganların meşru kimlik doğrulama jetonlarını oluşturmalarını ve yama yaptıktan sonra bile kalıcı erişimi sürdürmesini sağlar.
Teknik, tehdit aktörlerinin, genellikle NT Authority \ IUSR ayrıcalıkları altında çalışan SharePoint’in IIS İşçi Süreci (W3WP.EXE) aracılığıyla PowerShell komutlarını uygulamalarına izin verir.
Strobes Security’deki araştırmacılar, “Güvenlik açığı temelde SharePoint’in güvenlik modelini bozuyor” diye açıkladı. “Saldırganlar sömürüldükten sonra, SharePoint’in Crypepoint MachineKey yapılandırmasını çalabilir ve süresiz olarak kalıcı erişim sağlayabilirler.”
Acil durum yamaları ve hafifletme rehberliği
Microsoft, Dil Paketi güncellemeleri de mevcuttur. Bununla birlikte, SharePoint Server 2016 savunmasız kalır, Microsoft kapsamlı yamalar geliştirmek için çalışır.
Potansiyel saldırıları azaltmak için müşteriler:
- Şirket içi SharePoint Server’ın desteklenen sürümlerini kullanın
- Yukarıda bağlantılı en son güvenlik güncellemelerini uygulayın.
- Uç nokta koruması veya eşdeğer tehdit çözümleri için Microsoft Defender’ı dağıtın
- Antimal Yazılım Tarama Arayüzünün (AMSI), savunmacı antivirüs gibi uygun bir antivirüs çözeltisiyle doğru açıldığından ve doğru yapılandırıldığından emin olun.
- SharePoint Sunucusu ASP.NET MAKİNE TEMELLERİNİ DÖNÜYOR.
Microsoft Defender Birleşik Gelişmiş Av Sorgu
DeviceTvmSoftwareVulnerabilities
| where CveId in ("CVE-2025-49706","CVE-2025-53770")
Dosya oluşturma yoluyla başarılı bir sömürü kontrol etmek için
DeviceFileEvents
| where FolderPath has_any (@'microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS', @'microsoft shared\Web Server Extensions\15\TEMPLATE\LAYOUTS')
| where FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Süreç oluşturmayı kontrol etmek için
DeviceProcessEvents
| where InitiatingProcessFileName has "w3wp.exe"
and InitiatingProcessCommandLine !has "DefaultAppPool"
and FileName =~ "cmd.exe"
and ProcessCommandLine has_all ("cmd.exe", "powershell")
and ProcessCommandLine has_any ("EncodedCommand", "-ec")
| extend CommandArguments = split(ProcessCommandLine, " ")
| mv-expand CommandArguments to typeof(string)
| where CommandArguments matches regex "^[A-Za-z0-9+/=]{15,}$"
| extend B64Decode = replace("\\x00", "", base64_decodestring(tostring(CommandArguments)))
| where B64Decode has_any ("spinstall0", @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\15\TEMPLATE\LAYOUTS', @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS')
Kavram kanıtı gösterisinden sadece 72 saat içinde meydana gelen kitlesel sömürüye hızlı ilerleme, sıfır gün güvenlik açıklarının neredeyse anında silahlandırılabileceği gelişen tehdit manzarasını vurgulamaktadır. Kuruluşlara, uzlaşmayı önlemek için acil eylem gerektiren acil bir durum olayı olarak muamele etmeleri istenir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi