Yönetişim ve Risk Yönetimi, Yama Yönetimi
Microsoft, kimlik doğrulama bypassing saldırılarıyla mücadele etmek için acil durum yamaları yayınlıyor
Prajeet Nair (@prajeaetspeaks), Mathew J. Schwartz (Euroinfosec) •
21 Temmuz 2025
Güvenlik uzmanları, bilgisayar korsanlarının Microsoft SharePoint’in şirket içi kurulumlarında, Microsoft SharePoint’in şirket içi kurulumlarındaki iki sıfır günlük güvenlik açıkından aktif olarak yararlanıyor.
Ayrıca bakınız: Cihazlarda sıfır veri, tam BYOD özgürlüğü – bulut tarafından desteklenmektedir
Araç kılıfı lakaplı bir güvenlik açığı zincirini hedefleyen devam eden saldırı kampanyası, “sistemlere kimlik doğrulanmamış erişim sağlar ve kötü amaçlı aktörlerin dosya sistemleri ve dahili yapılandırmalar da dahil olmak üzere SharePoint içeriğine tam olarak erişmelerini ve ağ üzerinden kod yürütmelerini sağlar” dedi.
Palo Alto Networks’teki ünite 42 için tehdit istihbaratı Michael Sikorski, “Bu yüksek şiddetli, yüksek acil bir tehdit” dedi. “Bulut ortamları etkilenmezken, şirket içi SharePoint dağıtımları – özellikle hükümet, okullar, hastaneler dahil sağlık hizmetleri ve büyük işletme şirketleri – derhal risk altındadır.”
Siber güvenlik firması Eye Security’deki araştırmacılar, araç köyü hedefleme kampanyasının Cuma akşamı hızla genişlemeden önce başladığını söyledi. Cumartesi gününe kadar, saldırganlar “düzinelerce sunucuya” başarılı bir şekilde erişim kazandı ve her seferinde “hassas anahtar materyali sızdıran bir kabuk dikti ve tam uzaktan erişimi sağladı” dedi.
Güvenlik uzmanları, kuruluşların tüm şirket içi SharePoint sistemlerine – başka türlü kanıtlanana kadar – tehlikeye atılmış gibi davranmaları ve mevcutsa hemen Microsoft’tan yamalar uygulaması ve şifreleme anahtarlarını döndürmesi ve zaten ihlal edildikleri işaretler için uzlaşma göstergelerini gözden geçirmesi gerektiğini söyledi.
Mantiant Consulting’in CTO’su Charles Carmakal, “Kuruluşlar, SharePoint örneğinin yama yapmadan önce internete maruz kalması ve makine anahtarlarına erişilmediğini doğrulamalıdır.” Dedi. “Bu sadece bir yama ve hareketli olayı değil.”
CISA, şirket içi SharePoint sunucuları olan tüm kuruluşlara hemen hafifletmeler uygulamalarını veya sunucuları kamuya açık İnternet hizmetlerinden geçici olarak ayırmasını tavsiye etti.
WatchTowr CEO’su Benjamin Harris, “Tüm işaretler yaygın, kitlesel sömürü – tehlikeye atılan hükümet, teknoloji ve işletme sistemleri ile küresel olarak gözlemlendi.” Dedi. “Saldırganlar, kalıcı arka fırınlar kullanıyorlar ve özellikle normalden daha sofistike bir yol izliyorlar: Backdoor, SharePoint’in dahili kriptografik anahtarlarını alır – özellikle de Machine Tarkası __VIEWSTATE parametre.”
Araç köyü saldırı zinciri, iki sıfır günlük güvenlik açıklarından yararlanmayı içerir: CVE-2025-53770 ve CVE-2025-53771.
İlk kusur, ABD ulusal güvenlik açığının “yetkili bir saldırganın bir ağ üzerinden kod yürütmesine izin verdiğini” söyledi. İkinci kusur, Microsoft’un “yetkili bir saldırganın bir ağ üzerinde sahtekarlık yapmasına izin vermesine izin verdiğini” söyledi.
8 Temmuz’da Microsoft Yamalı CVE-2025-49704 ve CVE-2025-49706. Araştırmacı Khoa Dinh, geçen haftanın Pwn2own Berlin 2025 konferansında, alet tablosu olarak adlandırılan bir sömürü zinciri oluşturmak için nasıl kullanılabileceklerini gösterdi. 14 Temmuz’da, Almanya Kodu Kırmızı Penetrasyon Firması’ndaki araştırmacılar, Dinh’in bulgularına dayanarak istismar zincirini yeniden üretebildiklerini ve farklı bir tür kimlik doğrulama baypasını keşfettiklerini bildirdi.
Cuma günü başlayan saldırı kampanyasının arkasında olan her araç köyü biçimini keşfetmiş gibi görünüyor.
Microsoft, SharePoint için yayınladığı yeni, acil durum güncellemelerinin artık 8 Temmuz’da sabitlenen iki güvenlik açıkının yanı sıra iki yeni sıfır günlük güvenlik açıklarına yönelik düzeltmeler için “daha sağlam koruma” içerdiğini söyledi.
CISA, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-53770 ekledi ve tüm federal sivil ajanslara Pazartesi gününe kadar hafifletme uygulamalarını sağladı.
FBI, yaygın uzlaşma endişeleri nedeniyle etkilenen devlet kuruluşları ve özel sektör kuruluşlarıyla zaten koordine edildiğini söyledi.
Microsoft, KB5002768 üzerinden SharePoint Server Abonelik Sürümü ve KB5002754 üzerinden SharePoint Server 2019 için bant dışı yamalar yayınladı. Şirket, SharePoint Server 2016 için hala bir düzeltmeyi test ettiğini söyledi.
Microsoft, Pazartesi günü yayınlanan güncellenmiş rehberde, Malware Anti-Scan Arayüzüne atıfta bulunarak, “Müşterilerin Temmuz 2025 Güvenlik Güncellemesi’ni uygulamasını, AMSI entegrasyonunu etkinleştirmesini ve Makine Anahtarlarını Döndürmesini şiddetle tavsiye ediyoruz.” Dedi. Şirket ayrıca, eski ve muhtemelen çalınan kimlik bilgilerinin geçersiz kılınmasını ve böylece saldırganlar tarafından daha da kötüye kullanılmasını engellemek için anahtarları döndürdükten sonra internet bilgi hizmetlerinin yeniden başlatılmasını önerdi.
Eye Security’nin zaman çizelgesine göre, ilk araç köyü sömürü dalgası Cuma günü 18:00 UTC civarında başladı ve ardından Cumartesi günü 07:30 UTC’de ikinci bir dalga geldi. Her iki durumda da saldırganlar tarafından düşürülen arka kapı sadece kriptografik konfigürasyon verilerini ortaya çıkardı ve araştırmacıların tespit edilmeyi zorlaştırdığı giden çağrı yapmadı.
“Şüpheli gözlemledik POST hedefleyen istekler ToolPane.aspx Tavsiyelerle uç nokta, SignOut.aspx Path, “Eye Security bir blog yazısında dedi.” spinstall0.aspx“Saldırganların daha sonra sonraki kod yürütülmesi için imzalı görünüm durumu yükleri yapmak için kullanıldığı” hasat edilmiş ASP.NET makinesi doğrulama ve şifre çözme anahtarları “dedi.
Uzmanlar, yöneticiler anahtarları döndürmedikçe ve eski anahtarları geçersiz kılmadıkça, saldırganların yamalar uygulandıktan sonra bile erişim ve kod yürütme yeteneklerini koruyabileceği konusunda uyardı.
WatchTowr’dan Harris, “Etkilenen bir SharePoint örneği internete maruz kalırsa, aksi kanıtlanana kadar tehlikeye atılmalıdır.” Dedi.