Dünya çapında büyük ölçekli saldırılarda aktif olarak yıkıcı yeni bir SharePoint güvenlik açığı kullanılmaktadır ve saldırganların kimlik doğrulaması yapmadan şirket içi sunucuların tam kontrolünü almalarını sağlıyor.
Eye Security’deki güvenlik araştırmacıları, 18 Temmuz 2025’te devam eden kampanyayı keşfetti ve daha önce uzaktan kod yürütülmesi için PWN2OWN güvenlik açıklarını gösteren “araç kepçe” olarak adlandırılan sofistike bir istismar zincirini ortaya koydu.
Yaygın sömürü kampanyası
Microsoft tarafından resmen CVE-2025-53770 olarak adlandırılan güvenlik açığı, Mayıs 2025’te PWN2OWN Berlin’de gösterilen iki güvenlik kusurunun (CVE-2025-49706 ve CVE-2025-49704) bir varyantını temsil eder.
| Bağlanmak | Detaylar |
| CVE tanımlayıcısı | CVE-2025-53770 |
| İlgili CVS | CVE-2025-49706, CVE-2025-49704 |
| Güvenlik Açığı Türü | Uzaktan Kod Yürütme (RCE) zinciri |
| CVSS Puanı | Henüz atanmadı |
| Etkilenen sistemler | SharePoint Şirket içi sunucular |
Eye Security’nin dünya çapında 8.000’den fazla SharePoint sunucusu analizi düzinelerce uzlaşmış sistemi ortaya çıkardı ve 18 Temmuz’da 18:00 UTC ve 19 Temmuz’da UTC civarında saldırı dalgaları ortaya çıktı.
Sömürü zaman çizelgesi, saldırganların Kod White GmbH’nin güvenlik gösterisinden kısa bir süre sonra silahlandırılmış kavram kanıtı kodunu öneriyor ve akademik araştırmaları günler içinde gerçek dünya tehdidine dönüştürüyor.
Saldırılar özellikle /_layouts/15/toolpane.aspx uç noktasını hedefler ve kimlik doğrulanmamış dosya yüklemeleri ve kod yürütülmesine izin veren bir kimlik doğrulama baypasını kullanır.
Tipik web kabuğu saldırılarının aksine, araç kepçesi istismarı dikkate değer bir teknik karmaşıklık gösterir.
Saldırganlar, SharePoint sunucularından kriptografik sırları, özellikle de ViewState yüklerini imzalamak için kullanılan validationKey’ten kriptografik sırları çıkaran spinstall0.aspx adlı kötü niyetli bir ASPX dosyası kullanır.
Bu anahtar materyal, saldırganların güvenlik kontrollerini tamamen atlayan meşru, imzalı talepler oluşturmalarını sağlar.
İstismar zinciri, 2021 CVE-2021-28474 güvenlik açığından gelen teknikleri, kod yürütme elde etmek için SharePoint’in ViewState firalizasyon mekanizmalarını kullanan teknikleri yansıtıyor.
Kriptografik anahtarlar çıkarıldıktan sonra, saldırganlar kötü niyetli görünüm yükleri oluşturmak için YSoserial gibi araçları kullanabilir ve herhangi bir SharePoint isteğini etkili bir şekilde bir uzak kod yürütme fırsatına dönüştürebilir.
Eye Security’nin araştırması, Toolpane.aspx’e /_layouts/signout.aspx adresini işaret eden alışılmadık bir referans başlığı ile, kullanıcı oturumundan sonra bile istismar çalışmasını gösteren şüpheli IIS günlüklerini ortaya çıkardı.
Güvenlik araştırmacısı @IRSDL’nin 17 Temmuz bulguları, bu özel yönlendiricinin orijinal CVE-2025-49706’yı daha tehlikeli CVE-2025-53770 varyantına dönüştürmüş olabileceğini gösteriyor.
Microsoft aktif sömürüyü doğruladı, ancak henüz bir güvenlik yaması yayınlamadı. Şirketin Güvenlik Müdahale Merkezi, sadece geçici tespit rehberliği sağlarken şiddeti kabul etti.
Göz güvenliği araştırmacıları, tehdit operasyonel ve hızla yayıldığı için kuruluşların satıcı düzeltmelerini beklememesi gerektiğini vurgulamaktadır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now