Microsoft’un SharePoint işbirliği ve belge yönetim platformunun şirket içi örneklerini yürüten kuruluşlar, yeni çıkarılan iki güvenlik açıkından yararlanan henüz kimliği belirsiz bir tarafın birden fazla raporundan sonra gecikmeden güncellenmelidir.
Dublajlı Toolshell, ilgili güvenlik açıkları, CVE-2025-53770 ve CVE-2025-53771, SharePoint’te uzaktan kod yürütme (RCE) ve sunucu sahtekarlığına izin verir. Mayıs ayında Berlin’deki bir PWN2own etkinliğinde ilk kez gösterilen SharePoint’te kimlik doğrulanmamış bir RCE istismar zincirinin varyantları olarak ortaya çıkmış gibi görünüyorlar.
Çekirdek RCE Vuln, CVE-2025-53370, saldırganın savunmasız SharePoint sunucularından kriptografik anahtarları çalmasını sağlayarak çalışır ve bu da RCE’yi elde etmek için özel hazırlanmış istekler oluşturmak için kullanılabilir.
WatchTowr CEO’su Benjamin Harris, Computer Weekly e -posta yoluyla “Tüm işaretler, küresel olarak gözlemlenen hükümet, teknoloji ve işletme sistemleri ile yaygın, kitlesel sömürüye işaret ediyor” dedi.
“Saldırganlar kalıcı arka fırınlar kullanıyorlar ve özellikle normalden daha sofistike bir yol izliyorlar: Backdoor, SharePoint’in dahili kriptografik anahtarlarını – özellikle __ViewState parametresini güvence altına almak için kullanılan MAHENE MAHUTEYE.
Harris şunları açıkladı: “__ViewState, ASP.NET’te durum bilgilerini istekler arasında depolayan temel bir mekanizmadır. Doğrulamakey ve Duruşkey kullanılarak kriptografik olarak imzalanmış ve isteğe bağlı olarak şifrelenir. Bu anahtarlar elinizle, Saldırganlar, SharePoint’in uygunsuz uzaktan kumanda yürütmesi olarak kabul edileceği sahte bir şekilde kabul edeceğini açıkladı.
Hafta sonu Microsoft, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve dünyadaki diğer ortaklar da dahil olmak üzere ABD yetkilileri ile birlikte çalışıyor ve müşterileri SharePoint’i güncellemeye çağırdı.
CVE-2025-53770, CISA’nın bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna ABD hükümet organlarını düzeltmeye zorlayan eklendi.
Palo Alto Networks’teki ünite 42 için Tehdit İstihbarat Başkanı ve Tehdit İstihbarat Başkanı Michael Sikorski, SharePoint sunucularına karşı “yüksek etkili, devam eden bir tehdit kampanyası” izlediğini söyledi.
“Bulut ortamları etkilenmez olsa da, şirket içi SharePoint dağıtımları-özellikle hükümet, okullar, hastaneler dahil sağlık hizmetleri ve büyük işletme şirketleri-derhal risk altındadır” dedi.
“Şu anda yakın çalışıyoruz [the] Microsoft Güvenlik Yanıt Merkezi [MSRC] Müşterilerimizin en son bilgilere sahip olmasını sağlamak ve etkilenen müşterileri ve diğer kuruluşları aktif olarak bilgilendiriyoruz. ”
Soruşturma nasıl ortaya çıktı
Araç kağıdı ilk olarak 18 Temmuz Cuma günü bir Alt saldırı müşterisinden Crowdstrike Falcon Bitiş Noktası Tespit ve Yanıt (EDR) uyarısı aldıktan sonra Eye Security’deki araştırma ekibi tarafından keşfedildi.
Bu uyarı, daha derin bir siber saldırı yapmak için ilgili tehdit oyuncunun hedef sistem için kimlik doğrulaması yaptığı kaba bir kuvvet veya kimlik bilgisi doldurma saldırısı işaretledi.
Bununla birlikte, bu, daha derine inerken, göz ekibi için kırmızı bir ringa balığı olduğunu kanıtladı, daha sonra saldırganın kimlik doğrulamadan saldırılarını yürüttüğünü buldu.
Göz ekibi, “İşte o zaman artık basit bir kimlik bilgisi tabanlı saldırı ile uğraşmadığımızı fark ettik” diye yazdı. “Bu kaba bir güç ya da kimlik avı senaryosu değildi. Burası sıfır gün bölgesiydi.”
Açıklamadan önce Eye, dünya çapında 8.000’den fazla SharePoint sunucusunu taradığını ve düzinelerce sistemin zaten 18 Temmuz’da ve ikincisi 19 Temmuz’da iki saldırı dalgasında tehlikeye atıldığını buldu.
Teorik bir risk değil
Göz ekibi, Toolshell’in riskinin teorik bir risk olmadığını, saldırganlara kimlik korumalarını atlayan RCE yapma yeteneği verdiğini ve SharePoint içeriğine, sistem dosyalarına ve konfigürasyonlarına erişmelerini ve yanal harekete erişmelerini sağladığını söyledi.
Daha da önemlisi, tek başına yama yapmanın riski azaltmayacağı gerçeğidir, çünkü saldırı zinciri şifreleme sharePoint anahtarlarının çalınmasıyla başladığından, kullanıcılar bu sırları hemen döndürmezse, yama düzgün bir şekilde uygulanmış olsa bile tehdit oyuncusu tarafından kullanılabilirler.
WatchTowr’dan Harris, “Tipik bir yama, bu çalınan şifreli sırları otomatik olarak, örgütleri yamadan sonra bile savunmasız bırakarak otomatik olarak döndürmeyecek. Bu durumda, Microsoft’un güvenlik açığını ve uzlaşma sonrası herhangi bir uzlaşma sonrası düzeltmek için ek adımlar önermesi gerekecek” dedi.
“Etkilenen bir SharePoint örneği internete maruz kalırsa, aksi kanıtlanana kadar tehlikeye atılmalıdır.”
Eski Güven Modelleri
Forescout’ta güvenlik istihbaratı başkan yardımcısı Rik Ferguson, Toolshell’in Legacy Trust modellerinin modern bir tehdit oyuncusuna karşı çarptığında ne olacağını mükemmel bir vaka çalışması olduğunu söyledi.
“Kimlik doğrulanmış bir kullanıcı asla garantili bir güvenli varlık olarak ele alınmamalıdır, ancak bu güvenlik açığı, yüksek ayrıcalıklar gerektirmeden kod yürütme etkili bir şekilde verir. CISOS için, bu kritik bir noktayı vurgularsa. Güvenlik duruşunuz hala çevre güvenine veya kimlik bilgilerinin güvenliğine güveniyorsa, daha sonra yeniden değerlendirme zamanıdır” dedi.
“Sıfır TUST bir terim değildir. Bu bir zorunluluktur. Güvenlik, her kullanıcının ve her cihazın sürekli olarak doğrulanana kadar güvenilmez olduğu öncülünden başlamalıdır. Beklenen davranışlardan bile ince sapmaları işaretleyebilen yan hareket ve izlemeyi sınırlayan segmentasyona ihtiyacınız vardır.
Ferguson, “Saldırganlar sadece içeri girmiyorlar. Zaten içeridiler. Soru, oraya geldikten sonra ne kadar ileri gidebilecekler” dedi.