Microsoft, Microsoft SharePoint Server’daki Tehlikeli Toolshell Güvenlik Açığı Zinciri aracılığıyla sistemlerine dağıtılan Warlock Fidye Yazılımları tarafından birden fazla kuruluş vuruldu.
Bu haftanın başlarında Microsoft, bilinen Çin devleti tehdit aktörleri, keten tayfun ve Violet Typhoon’un iki güvenlik bypass güvenlik açıklarından yararlananlar arasında olduğunu söyledi-CVE-2025-53770, CVE-2025-49704 olarak izlenen bir uzaktan kod yürütme (RCE) kusuru, CVE-2025-49714 olarak izlenen ve CVE-2025-4971 olarak izliyor, CVE -2025-4971 olarak izliyor, CVE-2025-4970, CVE, CVEP, CVEP, CVEP, CVE, CVEP, CVE, CVEP A, CVEP, CVE-2025-49706.
Ayrıca, bu grubun geçmişte Lockbit gibi fidye yazılımı çeteleriyle bazı bağlar gösterdiğini belirtti.
Warlock’a bir bağlantı kuran Microsoft, şimdi ilişkilendirme, uzlaşma göstergeleri (IOCS), hafifletme ve koruma rehberliği ve tespit ve tehdit avı hakkında bilgi güncelledi.
23 Temmuz itibariyle, Shadowserver Vakfı’ndan elde edilen veriler, 600’e yakın SharePoint örneğinin İngiltere’de Web’e maruz kaldığını öne sürüyor – küresel rakam 11.000’e daha yakın.
Dünya çapında örgüt, toplamın yaklaşık 424’ünün 23 Temmuz itibariyle CVE-2025-53770 ve CVE-2025-53771’e karşı savunmasız kaldığını söyledi. Bu örneklerin yaklaşık dörtte biri ABD’de bulunmaktadır.
Bir açıklamada, İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) şunları söyledi: “Microsoft ve NCSC, bu güvenlik açığı için bir istismarın vahşi doğada var olduğunun ve İngiltere’de sınırlı sayıda da dahil olmak üzere şirket içi SharePoint Server müşterilerini hedefleyen aktif saldırıları gözlemlediğinin farkında.”
Yazma sırasında, Birleşik Krallık’ta hiçbir araç kepçesi kurbanı halka açık bir şekilde adlandırılmamıştır. ABD’de, olaya aşina olan kaynakları gösteren Bloomberg’e göre, Ulusal Nükleer Güvenlik İdaresi (NNSA) kurban düşecekler arasında.
NNSA’nın temel misyonu, ABD nükleer silahlarının güvenli bakımını ve yönetimini sağlamaktır.
Nihayetinde içinde oturduğu Enerji Bakanlığı tarafından onaylanan NNSA, saldırı tarafından “minimal olarak etkilenen” olarak tanımlandı.
Ajans, diğer ABD federal ve eyalet organlarının ve Avrupa ve Orta Doğu’daki hükümetlerin muhtemelen etkilendiğini, Washington Post Listeye Ulusal Sağlık Enstitüsü (NIH) ekledi.
SharePoint kullanıcıları tamamen maruz kaldı
Yönetilen Tespit ve Yanıt (MDR) Uzman Acumen Cyber’ın Baş Teknoloji Sorumlusu Kevin Robertson, CVE-2025-49704 ve CVE-2025-29706 için ilk yamaların başarısızlığının-her ikisi de Temmuz 2025 yaması Salı Drop’ta ele alınan önceki sorunları tam olarak ele alamadığını söyledi.
Robertson, “Fidye yazılımlarına yönelen saldırganlar, büyük bir maaş almayı umarak fidye yazılımı yürütmeden önce, hassas bilgileri şifreleyerek ortamlara daha fazla erişim elde etmek için CVE 2025-53770’den açıkça yararlanıyor” dedi.
“Bu, sadece bu tehlikeli kırılganlıktan yararlanan devlet destekli tehdit aktörlerinin olmadığını vurgulamaktadır. Para motive edilmiş saldırganlar da bandwagon’a atlıyorlar.”
Ancak, bazı devlet destekli saldırganlar da fidye yazılımı kullanacak. Ağlarda keşif yapıyor olabilirler ve daha sonra ihtiyaç duydukları şeye sahip olduklarında, kurbanlar için daha fazla kaosa neden olmak için fidye yazılımı düşürüyorlar.
“Şu anda 400 kurbanın tehlikeye atıldığını söyleyen verilerimiz olsa da, bu gerçekliğe kıyasla okyanusta bir düşüş olabilir. Ayrıca, tüm kuruluşlar henüz yamayı uygulayamayacak, yani ortamları hala açıktır” diye ekledi.