Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, yönetişim ve risk yönetimi
Ancak tüm çizgilerin hack gruplarının artık istismar koduna erişimi var, araştırmacılar uyardı
Mathew J. Schwartz (Euroinfosec) •
22 Temmuz 2025
Güvenlik Uzmanları, Microsoft SharePoint’teki sıfır gün güvenlik açıklarını hedefleyen bilgisayar korsanlarının Microsoft SharePoint’teki güvenlik açıklarını hedefleyen Kriptografik verileri çalmaya odaklanmış gibi görünüyor.
Ayrıca bakınız: Panel | Siber saldırılar artıyor – ve siber sigorta oranları hızla yükseliyor
Çin’e erken sömürü faaliyetini bağlayan Microsoft, kuruluşların kullanılmasına yardımcı olmak için acil durum yamaları acele ediyor. SharePoint’in şirket içi versiyonları risk altındadır, ancak Microsoft 365’te SharePoint Online değil (bkz:: Saldırganlar Şirket içi SharePoint’te sıfır gün kusurlarından yararlanır).
Salı itibariyle, SharePoint Server – Abonelik Sürümü, 2019 ve 2016’nın desteklenen tüm sürümleri için yamalar artık mevcut. Microsoft, saldırganları zaten saldırıya uğramış sistemlerden çıkarmak için dönen anahtarlar da dahil olmak üzere başka adımların gerekli olduğu konusunda uyardı.
Yeni yamalar, CVE-2025-53770 olarak izlenen güvenlik açıklarını, CVE-2025-49704 ile ilişkili bir uzaktan kod yürütme güvenlik açığı ve CVE-2025-53771 ile ilgili olarak, sunucu sahtekarlığı CVE-2025-49706 düzeltmesi için bir bypass.
8 Temmuz’da düzenli olarak planlanan, aylık yamaların yayınlanmasının bir parçası olarak Microsoft, CVE-2025-49704 ve CVE-2025-49706’yı düzeltmek için tasarlanmış güncellemeler yayınladı. Microsoft, son günlerde yayınlanan yeni, acil durum yamalarının artık altta yatan güvenlik açıkları için “daha sağlam korumalar” içerdiğini söyledi.
Şirketin Güvenlik Müdahale Merkezi Salı günü yaptığı açıklamada, “7 Temmuz gibi erken bir tarihte, Microsoft analizi, tehdit aktörlerinin hedef kuruluşlara ilk erişim elde etmek için CVE-2025-49706 ve CVE-2025-49704’ten yararlanmaya çalıştıklarını öne sürüyor.” Dedi. Saldırganlar tarafından kullanılan taktiklerin, tekniklerin ve prosedürlerin önceki saldırılara nasıl hizalandığına bağlı olarak, “bu aktörler Çinli aktörler keten typhoon ve Violet Typhoon ve başka bir Çin merkezli aktör Storm-2603’ü içeriyor.”
Microsoft, Tehdit Oyuncusu isimlendirmesinde “Typhoon” adlarını Çin hack gruplarına atıfta bulunmak için kullanıyor. APT27 ve Emissary Panda olarak da izlenen Keten Typhoon, 2012’den beri faaliyette ve fikri mülkiyet çalmaya odaklanıyor. Violet Typhoon, AKA APT31 ve Yargı Panda, 2015’ten beri faaliyette bir siber boyama grubudur. Storm-2603, tarihi ve hedefleri belirsiz kalmasına rağmen, Çin merkezli bir tehdit grubu gibi görünmektedir.
Microsoft, 8 Temmuz’da CVE-2025-49704 ve CVE-2025-49706’yı yamaladıktan sonra, CVE-2025-53770 ve CVE-2025-53771’in dokuz gün sonra başlamış gibi görünen araç saldırıları gibi.
Hollanda merkezli firma Eye Security, Perşembe günü 12:51 UTC’de başlayan araç kutusunu hedefleyen belirgin bir test dalgasını izlediğini ve ardından Cuma günü 18:06 UTC ve Cumartesi günü saat 7: 28’de saldırıları izlediğini söyledi. Firma ayrıca, güvenlik araştırmacıları Pazartesi günü araç kaşık için kavram kanıtı kullanma kodu yayınladıktan sonra saldırıların daha fazla “birden fazla dalgası” gördüğünü bildirdi. Göz güvenliği, “düzinelerce sistem aktif olarak tehlikeye atılmış” belirlediğini ve etkilenen kuruluşları doğrudan bilgilendirmeye çalıştığını söyledi.
Rapid7’ye göre, “Bu kampanya fırsatçı değil – kasıtlı, yetenekli ve yamadan sonra bile kalıcılık için tasarlanmıştır.” Rapid7, bazı müşterilerinin BT ortamlarındaki güvenlik açıklarının “aktif olarak sömürülmesini” gördüğünü söyledi.
Google Cloud’un Mantiant CTO’su Charles Carmakal, “Birkaç sektör ve küresel coğrafyadaki kurbanların farkındayız.” Dedi. “Etkinlik öncelikle yama uygulandıktan sonra mağdur ortamlarına erişmek için kullanılabilecek makine anahtar malzemesinin çalınmasını içeriyordu.”
Palo Alto Networks, “Bu güvenlik açıklarını özellikle ilgili kılan şey, SharePoint’in Microsoft’un platformu ile derin entegrasyonu, ofis, ekipler, OneDrive ve Outlook gibi hizmetleri de dahil olmak üzere, saldırganlar için değerli önemli bilgilere sahip.” Dedi. “Bu durumda bir uzlaşma bulunmuyor, tüm ağın kapısını açıyor.”
İnterneti kötü niyetli etkinlik arayan shadowserver, yaklaşık 9.300 internet bağlantılı SharePoint IP adresini günlük olarak gördüğünü, bunun savunmasız sistemlerin değil, sadece genel popülasyonun olduğunu belirttiğini söyledi.
Bu şirket içi SharePoint sistemlerinden 3.000’i Amerika Birleşik Devletleri’ndedir, bunu Hollanda’da yaklaşık 700, İrlanda’da 600, İngiltere’de 540, Kanada’da 500 ve Almanya, Avustralya ve Japonya’da 320 ila 330 arasında yer almaktadır.
Mantiant’ın Carmakal, “Birden fazla aktörün artık bu kırılganlığı aktif olarak kullandığını anlamak çok önemli.” Dedi. Diyerek şöyle devam etti: “Bu eğilimin, çeşitli motivasyonların yönlendirdiği diğer çeşitli tehdit aktörlerinin de bu istismardan yararlanacağını tam olarak tahmin ediyoruz.”
Dört adımlı saldırı
Siber güvenlik firması Wiz, araç köyü saldırı zincirinin şöyle devam ettiğini söyledi:
- İlk Erişim: Saldırgan, kısıtlı bir dizinden kaçmalarını sağlayan bir “yol geçiş” saldırısı çalıştırmak için CVE-2025-53771 Sahtekarlık Güvenlik Açığı’nı kullanır;
- Yükü teslim edin: Saldırgan, “sunucuya kalıcı uzaktan erişim” sağlayan bir web kabuğu şeklinde bir yük sunan kodu yürütmek için güvenilmeyen veri güvenlik açığı CVE-2025-53770’in seansize edilmesini kullanır;
- Anahtarlar: Saldırganlar, “SharePoint’in güveneceği geçerli, imzalı ASP.NET ViewState yükleri oluşturmak için kritik olan kriptografik anahtar materyali çalmak için web kabuğunu kullanır;
- Uzak Kod Yürütme: Çalınan anahtarları kullanarak saldırgan, SharePoint’e uzaktan kod yürütülmesini kolaylaştıran imzalı yükler gönderir.
Azaltma tavsiyesi
Bu tür saldırıları kimin sürdürdüğüne bakılmaksızın, Microsoft ve diğer güvenlik uzmanlarından gelen tavsiyeler açıktır: Şirket içi SharePoint sunucularının tüm kullanıcıları, Microsoft’tan acil durum yamalarını derhal yüklemeli, SharePoint Server ASP.NET makine anahtarlarını geçersiz kılmalı ve internet bilgi hizmetleri sunucularını yeniden başlatmalıdır. iisreset.exeSharePoint sunucularında ek güvenlik denetimlerini etkinleştirin ve sunucularını uzlaşma belirtileri açısından inceleyin.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı Microsoft’un resmi tavsiyelerini yansıtan, şirket içi sharePoint sunucularını kullanan tüm kuruluşlara “Antimalware tarama arabirimi – AMSI – SharePoint’te ve Microsoft Defender AV’yi tüm SharePoint sunucularına dağıtmak” için önermektedir. AMSI, uygulamaların ve hizmetlerin daha derin bir şekilde taranmasını kolaylaştırmak için tasarlanmış bir satıcı agnostik antimalware aracıdır.
Cisa, “AMSI etkinleştirilemezse, etkilenen ürünleri internette kamuya açık hizmetten ayırın” yamaları ve diğer iyileştirme adımları uygulanana kadar.
Salı günü, ekibinin AMSI’yi atlayan CVE-2025-53770’den yararlanmanın bir yolunu keşfettiğini söyledi.
“Bazı kuruluşların yama yapmak yerine ‘AMSI’yi etkinleştirmeyi’ seçtiklerini duymaktan endişe duyuyoruz. Bu çok kötü bir fikir.” Dedi. “Artık sömürü ulus-devlet aktörleriyle bağlantılı olduğuna göre, bir SharePoint sıfır gününü kullanabileceklerini düşünmek naif olurdu, ancak bir şekilde Amsi’yi atlamıyor. Organizasyonlar yamalı.”