Microsoft, devlet kurumları ve işletmeler tarafından yaygın olarak kullanılan şirket içi SharePoint sunucularını hedefleyen aktif siber saldırılar hakkında bir uyarı yayınladı. Siber saldırılar, on binlerce sunucuyu riske atan ve etkilenen sistemleri korumak için hızlı harekete yol açan sıfır günlük bir güvenlik açığından yararlanıyor.
FBI, durumun farkında olduğunu doğruladı ve devam eden sömürünün etkisini azaltmak için federal ve özel sektör ortaklarıyla çabaları koordine ediyor.
Saldırı Altında Şirket içi SharePoint sunucuları
20 Temmuz 2025’te yayınlanan bir güvenlik danışmanında Microsoft, devam eden siber saldırıların şirket içi SharePoint sunucularıyla sınırlı olduğunu doğruladı. Şirket, Microsoft 365 ile entegre bulut tabanlı sürüm olan SharePoint Online’ın etkilenmediğini açıkladı.
CVE-2025-53770 ve CVE-2025-53771 olarak izlenen güvenlik açığı, yetkili bir saldırganın bir ağ üzerinde sahtekarlık saldırıları gerçekleştirmesini sağlar. Sahtekarlık, yetkisiz erişim elde etmek için güvenilir bir kaynağı taklit etmeyi içerir ve genellikle daha fazla sistem uzlaşmasına veya veri hırsızlığına yol açar.
Sıfır gün güvenlik açığı aktif olarak sömürüldü
Bu durum sıfır günlük bir saldırı olarak tanımlanır, yani saldırganlar bir yama yapılmadan önce daha önce bilinmeyen bir yazılım kusurundan yararlanırlar. Buna göre Washington Postgüvenlik açığı zaten çeşitli ABD ve küresel ajansları ve kuruluşları hedeflemek için kullanılmıştır.
Microsoft, tehdit aktörlerinin kimliğini veya etkilenen kuruluşların ölçeğini açıklamamış olsa da, Hükümet, Sağlık, Eğitim ve Kurumsal Sektörlerde SharePoint sunucularının geniş kullanımı nedeniyle kusur şiddetli kabul edilir.
Microsoft, kritik güvenlik güncellemelerini yayınladı
Microsoft, SharePoint Server Abonelik Sürümü ve SharePoint Server 2019 için güvenlik güncellemelerini yayınladı. Bu güncellemeler, sömürülen güvenlik açıklarına karşı tam koruma sağlar. Ancak, SharePoint Server 2016 güncellemeleri hala beklemede. Müşteriler, en son gelişmeler için Microsoft’un resmi blogunu kontrol etmeleri istenir.
Şirket, sistemleri güncel tutmanın önemini vurguladı ve kuruluşların düzeltmeleri etkili bir şekilde uygulamalarına yardımcı olmak için ayrıntılı rehberlik yayınladı.
SharePoint ortamlarını korumak için anahtar adımlar
Microsoft, pozlamayı azaltmak için birkaç azaltma adımını özetledi:
- Desteklenen SharePoint sürümlerini kullanın
SharePoint Server 2016, 2019 veya Abonelik Sürümü gibi desteklenen sürümlerin kullanılmasını sağlayın. - Temmuz 2025 Güvenlik Güncellemeleri Yükle
En son güvenlik güncellemelerinin derhal uygulanması, sömürü önlemek için kritik öneme sahiptir.- SharePoint Server 2019: KB5002741
- SharePoint Enterprise Server 2016: KB5002744
- AMSI’yi etkinleştir (Antimal Yazılım Tarama Arayüzü)
Microsoft, kötü niyetli etkinlikleri gerçek zamanlı olarak tespit etmek ve engellemek için AMSI entegrasyonunu defans antivirüs ile yapılandırmanızı önerir.- AMSI, SharePoint Server 2016/2019 için Eylül 2023 Güvenlik Güncellemesinde varsayılan olarak etkinleştirildi.
- AMSI’nin etkinleştirilemediği ortamlar için Microsoft, etkilenen sunucuları bir düzeltme mevcut olana kadar internetten ayırmayı önerir.
- Endpoint için Microsoft Defender’ı dağıtın
Kuruluşlar, sömürme sonrası faaliyetleri tespit etmek ve içermek için uç nokta veya eşdeğer uç nokta koruma çözümleri için savunmacı uygulamalıdır. - ASP.NET makine tuşlarını döndürün ve IIS’yi yeniden başlatın
Güncellemeler uyguladıktan veya AMSI’yi etkinleştirdikten sonra, ASP.NET makine anahtarlarını döndürmek ve güvenlik sertleştirme işlemini tamamlamak için tüm SharePoint sunucularında II’leri yeniden başlatmak önemlidir.- Anahtar rotasyonu tetiklemek için PowerShell (Update-SPMachineKey CMDlet) veya Merkezi Yönetim kullanın.
- Rotasyondan sonra iisreset.exe kullanarak yeniden başlatın.
Microsoft ayrıca, sömürü girişimlerinin belirtileri için Microsoft Defender Güvenlik Açığı Yönetimi ile algılama günlüklerinin ve ek telemetrinin izlenebileceğini belirtti.
CISA Koordineli Yanıt’a Katılın
FBI, diğer ajanslarla koordineli olarak saldırıları aktif olarak araştırıyor. Büro, ayrıntılı bir açıklama yapılmamış olsa da, tehdidi ele almak için kamu ve özel sektör paydaşlarıyla devam eden işbirliğini doğruladı.
Paralel olarak, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), doğrulanmış aktif sömürüye dayanarak bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-53770 ekledi. CISA, bu tür güvenlik açıklarının federal işletme için ciddi bir risk oluşturduğunu vurguladı ve kuruluşları Microsoft’un önerilen azaltmalarını gecikmeden uygulamaya çağırdı.
SharePoint Online etkilenmiyor
Microsoft, saldırıların Microsoft 365’in bir parçası olarak bulutta barındırılan SharePoint Online’ı etkilemediğini doğruladı. Bulut tabanlı sürümü kullanan kuruluşlar, gelecekteki tehditler hakkında bilgilendirilmeleri teşvik edilse de normal işlemlere devam edebilir.
Güvenlik Güncellemesi Özeti
| Ürün | KB makalesi | Sabit derleme numarası |
| SharePoint Server 2019 | KB5002741 | 16.0.10417.20027 |
| SharePoint Enterprise Server 2016 | KB5002744 | 16.0.5508.1000 |
| SharePoint Abonelik Sürümü | KB5002768 | Güvenlik Güncellemesi Yayınlandı |
| SharePoint Server 2016 (tam düzeltme) | Askıda olması | Devam etmekte |
Sonraki Adımlar ve Öneriler
Microsoft durumu değerlendirmeye devam ediyor ve daha fazla bilgi mevcut hale geldikçe rehberliğini güncellemeye karar verdi. Şirket içi SharePoint sunucuları çalıştıran kuruluşlar derhal hareket etmelidir:
- Önerilen tüm güncellemeleri uygulayın
- Koruma araçlarını ve AMSI’yi etkinleştirin
- Makine Anahtarlarını Döndür
- Uzlaşma belirtileri için sistemleri izleyin
Aktif sömürü devam ederken, duyarlı verileri korumak ve sistem bütünlüğünü korumak için hızlı eylem gereklidir.