Microsoft SharePoint sunucularında kritik bir sıfır günlük güvenlik açığı, Siber suçlu spektrumundaki tehdit aktörleri için bir oyun alanı haline geldi ve fırsatçı bilgisayar korsanlarından 2025’in ortalarından bu yana sofistike ulus devlet gruplarına kadar çeşitli saldırılar.
19 Temmuz 2025’te Microsoft, toplu olarak “araç kepçe” olarak bilinen güvenlik açıklarının vahşi doğada aktif olarak sömürüldüğünü doğruladı. İstismar zinciri, CVSS skoru 9.8 olan uzaktan kod yürütme güvenlik açığı olan CVE-2025-53770 ve CVE-2025-53771 olan bir sunucu sahtekarlığı güvenlik açığı içerir.
Bu saldırılar özellikle şirket içi Microsoft SharePoint sunucularını SharePoint Abonelik Sürümü, SharePoint 2019 veya SharePoint 2016 çalıştırırken, Microsoft 365’teki SharePoint Online etkilenmez.
Güvenlik açığı, saldırganların çok faktörlü kimlik doğrulama ve tek oturum açma korumalarını atlamasına izin vererek SharePoint sistemlerine yetkisiz erişim sağlar ve ağ üzerinde keyfi kod yürütülmesini sağlar.
Bunu özellikle tehlikeli kılan şey, SharePoint’in ofis, ekipler, OneDrive ve Outlook da dahil olmak üzere diğer Microsoft hizmetleriyle entegrasyonudur, bu da saldırganlara tehlikeye girmiş ağlar arasında kapsamlı erişim sağlar.
SharePoint 0 günlük güvenlik açığı kullanıldı
Sömürü 17 Temmuz 2025’te başladığından beri, güvenlik araştırmacıları bu güvenlik açıklarından yararlanan çarpıcı bir saldırgan çeşitliliği gözlemlediler.
Tehdit manzarası hem finansal olarak motive edilmiş siber suçluları hem de devlet destekli casusluk gruplarını içerir ve kötü amaçlı aktörler için eşi görülmemiş bir “yiyebileceğiniz büfe” oluşturur.
Microsoft, güvenlik açıklarından yararlanan Çin’e uyumlu üç tehdit grubunu özel olarak belirledi: Keten Typhoon, Violet Typhoon ve Storm-2603. Google Cloud’un maniant biriminden Charles Carmakal, “bu erken sömürüden sorumlu aktörlerden en az birinin Çin-nexus tehdit oyuncusu olduğunu” doğruladı.
En önemlisi, öncelikle hükümetleri, telekomünikasyon şirketlerini ve uluslararası kuruluşları hedefleyen sofistike bir Çin siberlik grubu olan Luckymouse’un (APT27) katılımıdır.
ESET araştırmacıları, araç kabı ile tehlikeye atılan bir Vietnam makinesinde Luckymouse ile ilişkili bir arka kapı tespit ettiler, ancak bunun yeni bir enfeksiyonu veya önceden var olan uzlaşmayı temsil edip etmediği belirsizliğini koruyor.
Tehdit karmaşıklığına ek olarak Microsoft, Storm-2603’ün bu güvenlik açıklarını kullanarak Warlock fidye yazılımlarını dağıtmaya başladığını ve saf casusluktan fidye yazılımı işlemlerine bir evrimi işaretlediğini bildirdi.
Saldırılar, ESET telemetri verilerine göre, ABD’nin saldırıların% 13,3’ünü oluştururken önemli coğrafi erişim göstermiştir.
Güvenlik firması göz güvenliği, ABD federal ajansları, üniversiteler ve enerji şirketleri de dahil olmak üzere kurbanlar ile birden fazla saldırı dalgasında 400’den fazla tehlikeye atılmış SharePoint sistemi tespit etti.
Sömürü tekniği, SharePoint sunucularından kriptografik sırlar çıkarmak için kötü niyetli web kabuklarının, özellikle de “spinstall0.aspx” dağıtımını içermektedir.
Saldırganlar daha sonra geçerli kimlik doğrulama jetonları oluşturmak için bu çalıntı doğrulama ve şifre çözme anahtarlarını kullanırlar ve ilk güvenlik açıkları yamalandıktan sonra bile kalıcı erişim sağlar.
Microsoft, 22 Temmuz 2025 itibariyle etkilenen tüm SharePoint sürümleri için acil durum güvenlik güncellemeleri yayınladı. Ancak, uzmanlar tek başına yamanın yetersiz olduğu konusunda uyarıyor – kuruluşların ASP.NET makine anahtarlarını döndürmesi ve saldırganları tamamen tahliye etmek için IIS hizmetlerini yeniden başlatmaları gerektiği konusunda uyarıyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-53770 ekledi ve federal ajansların hemen yamalar uygulamasını gerektirdi.
Güvenlik açığının çeşitli tehdit aktörlerine itirazı göz önüne alındığında, güvenlik uzmanları önümüzdeki aylar boyunca açılmamış sistemlere karşı sürekli sömürü girişimlerini öngörüyor.
Şirket içi SharePoint sunucularını çalıştıran kuruluşların, basit yama işleminin ötesinde uzlaşma ve kapsamlı olay müdahale prosedürlerini uygulamaları konusunda şiddetle tavsiye edilir.
Uzlaşma Dosya Göstergeleri (IOCS)
| SHA-1 | Dosya adı | Tespit | Tanım |
|---|---|---|---|
| F5B60A8AD96703080E73A1F79C3E70F44DF271 | spinstall0.aspx | MSIL/Webshell.js | Web Shell SharePoint güvenlik açıkları aracılığıyla dağıtıldı |
Uzlaşma Ağ Göstergeleri (IOCS)
| IP adresi | İhtisas | Barındırma sağlayıcısı | İlk görüldü | Detaylar |
|---|---|---|---|---|
| 96.9.125[.]147 | N/A | BL Ağları | 2025-07-17 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 107.191.58[.]76 | N/A | Constant Company, LLC | 2025-07-18 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 104.238.159[.]149 | N/A | Constant Company, LLC | 2025-07-19 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 139.59.11[.]66 | N/A | Digitalocean, LLC | 2025-07-21 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 154.223.19[.]106 | N/A | Kaopu Cloud HK Limited | 2025-07-21 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 103.151.172[.]92 | N/A | Ikuuu Network Ltd | 2025-07-21 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 45.191.66[.]77 | N/A | Viaclip İnternet ve Telekomünikasyon Ltda | 2025-07-21 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 83.136.182[.]237 | N/A | Alina Gatsianuk | 2025-07-21 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 162.248.74[.]92 | N/A | Xtom Gmbh | 2025-07-21 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 38.54.106[.]11 | N/A | Kaopu Cloud HK Limited | 2025-07-21 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 206.166.251[.]228 | N/A | BL Ağları | 2025-07-21 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 45.77.155[.]170 | N/A | Vultr Holdings, LLC | 2025-07-21 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 64.176.50[.]109 | N/A | Constant Company, LLC | 2025-07-21 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 149.28.17[.]188 | N/A | Constant Company, LLC | 2025-07-22 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 173.239.247[.]32 | N/A | GSL Networks Pty Ltd | 2025-07-22 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 109.105.193[.]76 | N/A | Haruka Network Limited | 2025-07-22 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 2.56.190[.]139 | N/A | Alina Gatsianuk | 2025-07-22 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 141.164.60[.]10 | N/A | Constant Company, LLC | 2025-07-22 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
| 124.56.42[.]75 | N/A | IP yöneticisi | 2025-07-22 | IP adresi SHAREPOint güvenlik açıklarından yararlanma. |
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi