Microsoft SharePoint sunucularını hedefleyen sofistike bir siber saldırı kampanyası, “Araç Kazası” olarak adlandırılan yeni silahlandırılmış bir güvenlik açığı zincirinden yararlanarak, saldırganların kimlik doğrulaması olmadan savunmasız sistemler üzerinde tam uzaktan kumanda kazanmalarını sağlayan keşfedildi.
Hollandalı bir siber güvenlik firması olan Eye Security, 18 Temmuz 2025’te aktif sömürüyü tespit etti ve güvenlik araştırmacılarının kavram kanıtıdan son hafızadaki kitlesel sömürüye en hızlı geçişlerden biri olarak tanımladığını ortaya koydu.
Araştırmadan 72 saat içinde silahlandırmaya kadar
Güvenlik açığı zinciri, Mayıs ayında Pwn2own Berlin 2025’te bir Alman saldırgan güvenlik firması olan White GmbH güvenlik araştırmacıları tarafından PWN2own Berlin 2025’te gösterilen iki kritik güvenlik kusurunu birleştiriyor.
İstismar, Cod White’ın Microsoft’un resmi yama sürümünden sonra sosyal medya platformlarında ayrıntılı bulgularını herkese açık bir şekilde paylaştığı 15 Temmuz 2025’e kadar hareketsiz kaldı.
Kamu açıklamasından sadece 72 saat içinde, tehdit aktörleri büyük ölçekli koordineli saldırılar için istismar başarıyla işlevsellik etmişlerdir.
Eye Security’nin kapsamlı soruşturması, saldırganların 18 Temmuz 2025’te 18:00 Orta Avrupa saatinde sistematik kitle sömürüsüne başladığını ve başlangıçta 107.191.58.76 IP adresini kullanarak ortaya çıktı.
19 Temmuz 2025’te 07:28 CET’te 104.238.159.149’dan itibaren ikinci ayrı bir saldırı dalgası ortaya çıktı ve açıkça iyi koordine edilmiş bir uluslararası kampanyayı gösterdi.
Araç kağıdı istismarı, SharePoint’in savunmasız hedefleyerek geleneksel kimlik doğrulama mekanizmalarını atlar /_layouts/15/ToolPane.aspx uç nokta.
Öncelikle komut yürütme için tasarlanmış geleneksel web kabuklarının aksine, kötü amaçlı yük yükü, kritik validationKey ve DecryptionKey materyalleri de dahil olmak üzere SharePoint sunucularından hassas şifreleme anahtarlarını özellikle çıkarır.
Göz güvenliği araştırmacıları ayrıntılı teknik analizlerinde “Bu sizin tipik webshell’iniz değildi” diye açıkladı. “Saldırgan, SharePoint’in kendi konfigürasyonundaki doğal güvenini güçlü bir silah haline getiriyor”.
Bu şifreleme sırları başarıyla elde edildikten sonra, saldırganlar tamamen geçerli olabilir __VIEWSTATE Herhangi bir kullanıcı kimlik bilgisi gerekmeden tam uzaktan kumanda yürütme elde etmek için yükler.
Sofistike saldırı, CVE-2021-28474’e benzer tekniklerden yararlanarak SharePoint’in firalizasyonunu ve kontrol oluşturma işlemlerini kullanıyor.
Sunucunun validationKey’i elde ederek, saldırganlar, SharePoint’in otomatik olarak meşru güvenilir girdi olarak kabul eden ve mevcut tüm güvenlik kontrollerini ve savunma önlemlerini etkili bir şekilde atlayan kötü niyetli yükleri dijital olarak imzalayabilir.
Eye Security’nin dünya çapında konuşlandırılan 1.000’den fazla SharePoint sunucusunun kapsamlı taraması, birden fazla kuruluşta düzinelerce aktif olarak tehlikeye atılmış sistem ortaya çıkardı.
Siber güvenlik firması hemen etkilenen tüm kuruluşlarla ve ulusal bilgisayar acil müdahale ekipleriyle (CERTS) Avrupa ve uluslararası düzeyde doğrudan temasa geçerek sorumlu açıklama prosedürlerini derhal başlattı.
Microsoft, canlı saldırılarda kullanılan belirli varyantı izlemek için yeni bir CVE tanımlayıcısı (CVE-2025-53770) atayarak aktif sömürü tehdidini resmen kabul etti.
Şirket, SharePoint Server 2016, 2019 ve Abonelik Sürümü dahil olmak üzere etkilenen tüm sürümler için kapsamlı güvenlik yamaları yayınladı.
Savunmasız SharePoint sürümlerini çalıştıran kuruluşlar, Microsoft’un Temmuz 2025 güvenlik güncellemelerini gecikmeden hemen uygulamalıdır. Etkilenen yapılar, 16.0.5508.1000’den önceki SharePoint 2016 sürümlerini (KB5002744), 16.0.10417.20027’den önceki SharePoint 2019 sürümlerini (KB5002741) ve 16.0.18526.20424’ten önce abonelik sürüm sürümlerini içerir.
Microsoft açıkça alternatif geçici çözümlerin bulunmadığını belirtmektedir; Sadece eksiksiz, anında yama, bu kritik güvenlik açığını bugün tamamen ortadan kaldırır.
Kuruluşlar ayrıca kapsamlı, kapsamlı uzlaşma değerlendirmeleri derhal yapmalıdır, çünkü bu sofistike saldırılar yama, sistem yeniden başlatmalarından ve standart güvenlik taramalarından kurtulan kalıcı erişim sağlar.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi