19 Temmuz 2025’te, kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığı (CVE-2025-53770, araç kılıfı olarak da adlandırılan) kamuya açıklandı ve şirket içi Microsoft SharePoint Server kurulumlarını etkiledi. Bu güvenlik açığı, kimlik doğrulanmamış saldırganların güvensiz firalizasyon tekniklerinden yararlanarak keyfi kod yürütmesine izin verir. Platformun yaygın kullanımı ve internete maruz kalması göz önüne alındığında, uzlaşma potansiyeli, özellikle vahşi doğada doğrulanmış aktif sömürü ile önemli ve büyüyor.
Güvenlik Açığı Genel Bakış
CVE-2025-53770, bir kusurla Microsoft SharePoint’i hedefler Viewstate Deserializasyonözellikle uç noktada tetiklenir:
/_layouts/15/ToolPane.aspx
Taciz ederek Başlığı ifade eder (işaret ediyor /_layouts/SignOut.aspx) ve hazırlanmış bir .aspx dosyası (örneğin, spinstall0.aspx) yükleme, saldırganlar kimlik doğrulamasını atlayabilir ve uzak yükleri yürütebilir. Yürütüldükten sonra, bu yükler ayıklayabilir ASP.NET Makine Anahtarları (ValidationKey Ve DecryptionKey) Sunucudan kötü niyetli oluşturulmasını sağlayan ViewState Sunucunun meşru olarak kabul edeceği veriler.
Bu güvenlik açığı “OWASP A08: 2021 – Yazılım ve Veri Bütünlük Arızaları” altına girer. Saldırı zinciri ayrıca iki yardımcı güvenlik açığı içerebilir: etkiyi daha da kötüleştiren CVE-2025-49706 ve CVE-2025-49704.
CVE-2025-53770, kritik bir ön kimlik doğrulama uzaktan kod yürütme kırılganlığı olarak sınıflandırılır, tahmini CVSS skoru 9.8, sömürü kolaylığını, gerekli ayrıcalıkların eksikliğini ve ciddi potansiyel etkiyi yansıtır.
Vahşi doğada sömürü
Mekanik sömürüsü
Kök neden yatıyor Güvensiz seansizasyon ViewState aracılığıyla, özellikle aşağıdakiler gibi kötü niyetli bir kontrolün enjeksiyonu:
Bu yük, SharePoint tarafından düzenlendiğinde, saldırgan zaten makine tuşlarına sahipse, keyfi kod yürütülmesine yol açar. Aşağıda kesilmiş bir istismar örneği kıvrılmak:
curl -sk -X POST 'https://victim.com/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx' -H 'Referer: /_layouts/SignOut.aspx' -H 'Content-Type: application/x-www-form-urlencoded' --data-urlencode 'MSOTlPn_Uri=https://malicious.com' --data-urlencode 'MSOTlPn_DWP=
Wallarm yanıtı ve gözlemlenen sömürü
Wallarm, CVE-2025-53770’in sömürü girişimlerini tanımlamak ve engellemek için açıklamadan kısa bir süre sonra tespit kurallarını kullandı. Birkaç saat içinde Wallarm müşterileri korundu. Kurallar, hazırlanmış ViewState yüklerini ve savunmasız uç noktaya anormal erişim tespit eder.
Wallarm, kamu açıklamasının ardından istismar girişimlerinde acil ani artışları tespit etti:
Bu rakamlar, istismar kodunun tehdit aktörleri tarafından hızlı bir şekilde benimsenmesini göstermektedir. GitHub’daki kamu depoları zaten çalışma konsept kanıtı yükleri yayınlamış ve daha da sömürü için çubuğu düşürmüştür.
Azaltma
Wallarm müşterileri önerir:
- Yama etkilenen SharePoint sunucularını hemen etkiledi
- ASP.NET şifreleme anahtarlarını döndür
- Uzlaşma göstergeleri için sistemleri inceleyin
- Patlamasızsa halka açılan SharePoint örneklerini izole
Bu katmanlı savunma hem proaktif azaltma hem de adli hazırlık sağlar.
Çözüm
CVE-2025-53770, Microsoft SharePoint gibi yaygın olarak maruz kalan platformlarda onay öncesi RCE güvenlik açıklarının ortaya koyduğu kritik risklerin bir örneğidir. Yama ve anahtar rotasyon esas olmakla birlikte, tek başına hızla gelişen tehditlere karşı savunmak için yeterli değildir.
Bir Web uygulaması ve API koruması (WAAP) çözümü, özellikle açıklama ve iyileştirme arasındaki yüksek riskli dönemde sanal yama, gerçek zamanlı tehdit tespiti ve saldırı yüzey koruması sağlayan çok katmanlı bir güvenlik stratejisi için hayati öneme sahiptir. Wallarm’ın bu güvenlik açığına hızlı tepkisi, WAAP’ın boşluğu nasıl etkili bir şekilde kapatabileceğini ve kritik sistemleri etkilemeden önce istismar girişimlerini engellediğini göstermektedir.
Risk özeti
- Yüksek güvenilirliğe sahip Auth öncesi RCE
- Yaygın olarak kullanılan bir kurumsal işbirliği platformunu hedefler
- Veri hırsızlığı, yanal hareket ve kalıcılık potansiyeli
Kamuya maruz kalma: Shodan Insights
Yayın itibariyle, Shodan Arama Sonuçları göstermek 16.405 İnternet’e bakan SharePoint örnekleribirçoğu muhtemelen savunmasızdır. Bu, maruz kalma ölçeğini ve kamu dağıtımlarını iyileştirmenin aciliyetini vurgular.
