Güvenlik Araştırmacılarına göre, Microsoft SharePoint’teki araç kabı güvenlik açığı ile bağlantılı küresel hack kampanyası, dünya çapında yüzlerce sistemi tehlikeye attı.
Shadowserver Vakfı, göz güvenliği ve NIVD ile derlenen verilere atıfta bulunarak 300’den fazla kurbanı doğruladığını söyledi.
Bundan fazla 10.700 SharePoint örneği maruz kalmaya devam ediyorShadowserver’a göre.
ABD’li yetkililer, Microsoft’un kısmen Çin destekli bilgisayar korsanlarıyla ilişkilendirdiği sömürünün etkisini değerlendirmeye devam ediyor.
Chris Butera, “CISA, Microsoft yerinde SharePoint sunucularını etkileyen birden fazla güvenlik açıkının aktif olarak kullanılmasını ele almak ve azaltmak için Microsoft ile birlikte Federal ve diğer ortaklarla birlikte çalışmaya devam ediyor” dedi. “Kamuoyu ‘araç kepçe’ olarak bildirilen sömürü, sistemlere yetkisiz erişim sağlar ve kötü amaçlı aktörlerin dosya sistemleri ve dahili yapılandırmalar da dahil olmak üzere SharePoint içeriğine tam olarak erişmesini ve ağ üzerinden kod yürütmesini sağlar.”
Cisa İki kritik güvenlik açıkını ekledi Bu, araç köyünün geliştirilmesine yol açtı, CVE-2025-49704 Ve CVE-2025-49706bilinen sömürülen güvenlik açıkları kataloğuna.
Ajans hala olay tepkisinin ilk aşamalarında ve saldırıların tam kapsamını ve etkisini değerlendiriyor. Federal yetkililer, CISA’nın ihlal edilmiş olabilecek federal kurumların ve eyalet ve yerel yönetimlerin farkında olduğunu ve kapsamı değerlendirmek ve potansiyel etkiyi azaltmak için onlarla birlikte çalıştığını doğruladı.
Bilgisayar korsanları, SharePoint güvenlik açıkları aracılığıyla Ulusal Nükleer Güvenlik İdaresine nüfuz etti, Bloomberg’e görehassas veya sınıflandırılmış bilgilere eriştiklerine dair bir kanıt olmamasına rağmen. Ajans, ülkenin nükleer silah stokunu yönetmekten sorumludur. Bilgisayar korsanları ayrıca Ulusal Nükleer Güvenlik İdaresi’ni barındıran ABD Enerji Bakanlığı’nın diğer bölümlerini de ihlal ettiler.
DOE yetkilileri yorum talebine hemen yanıt vermedi.
Microsoft Salı günü, birçok erken SharePoint saldırısının arkasındaki devlet bağlantılı iki bilgisayar korsanını Linen Typhoon ve Violet Typhoon olarak tanımladı. Şirket ayrıca, fırtına-2603 olarak izlediği üçüncü bir tehdit aktörünün, motivasyonunun belirsiz kalmasına rağmen saldırılarla uğraştığını söyledi.