Zekaya göre, henüz isimsiz bir Çin devleti tehdit oyuncusu, Microsoft SharePoint’te bir uzaktan kod yürütme kırılganlığı olan CVE-2025-53770’den (AKA Toolshell) sömürücüler arasında gibi görünüyor.
19-20 Temmuz hafta sonu boyunca ortaya çıktığından, daha önce yamalı iki kusuru atlayan CVE-2025-53770’in son derece duyarlı doğası, ortaya koyduğu önemli tehlike sayesinde tehdit aktörlerinin dikkatini çekti ve bunu tam olarak azaltamıyor.
Google Cloud’daki Mantiant Consulting’in baş teknoloji sorumlusu Charles Carmakal, kuruluşun dünyadaki SharePoint örneklerini araştırmak ve saldıran çeşitli grupları izlediğini söyledi.
“Bu erken sömürüden sorumlu aktörlerden en az birinin Çin-nexus tehdit oyuncusu olduğunu değerlendiriyoruz” dedi. “Birden fazla aktörün artık bu güvenlik açığını aktif olarak kullandığını anlamak çok önemlidir. Bu eğilimin, çeşitli motivasyonlardan kaynaklanan diğer çeşitli tehdit aktörlerinin de bu istismardan yararlanacağını tam olarak devam edeceğini tam olarak tahmin ediyoruz.”
LinkedIn hakkındaki düşüncelerini paylaşan Carmakal, Mart 2021’den itibaren, Microsoft Exchange sunucusuna üç sıfır gün istismarına bağlı bir dizi saldırının (AKA APT27, Hafnium, Hafnium) gelişmiş kalıcı tehdit (Apt) grubunun kurbanını vurduğu bir Déjà Vu duygusu yaşadığını söyledi.
Carmakal, sadece CVE-2025-53770-ve yakın bağlantılı CVE-2025-53771-hemen değil, aynı zamanda, herhangi bir müdahalede çalınmış olsalar bile potansiyel mağdurlara karşı kullanılabileceğinden, aciliyet meselesi olarak SharePoint ASP.NET makine anahtarlarını da döndürmek için genel tavsiyeleri tekrarladı.
Savunucuların, SharePoint örneklerini hedefleyen birden fazla ayrı etkinlik kümesi ile birçok gürültülü güvenlik günlüğüne hazırlanmaları gerektiğini de sözlerine ekledi. Bunların bazılarının şüphesiz kötü niyetli olacağını söyledi, ancak bazıları sorunu çalışan meşru güvenlik araştırmacıları olabilir.
Son birkaç saat içinde Microsoft, daha önce mevcut olmayan SharePoint’in desteklenen tüm sürümlerini kapsayan düzeltmeler yayınladı. Daha fazla bilgi kaynaktan buradan ulaşılabilir.
Dünya çapında kapsam
Mantiant’ın değerlendirmesini destekleyen Bitdefender araştırmacıları, yönetilen tespit ve yanıt teknolojisi ve telemetri laboratuvarı araştırmalarının Avrupa, Orta Doğu ve Kuzey Amerika’da meydana gelen uzlaşmalar gösterdiğini söyledi.
Bir sözcü, “Bitdefender, fidye yazılımı veya diğer kovalamaca sonrası etkinliklerin ilk erişimden sonraki günler veya haftalar takip edebileceği ve hızlı algılama ve yanıtı zorunlu kıldığını uyarıyor” dedi.
Sentinelone, Computer Weekly’ye, SharePoint’i hedefleyen üç farklı saldırı kümesini izlediğini söyledi-uygulamalı webshell erişimi, makine anahtarı ekstraksiyonu yoluyla kimlik bilgisi hasat ve daha gizli, filessiz bellek içi yürütme.
Araştırmacılar, altyapı, teknoloji ve mühendislik de dahil olmak üzere kritik endüstrilerdeki kurbanları bildirdiler ve Mantiant’ın ulus devlet aktörlerinin kusuru silahlandırdığı değerlendirmesini desteklediler. Sentinelone ekibi, şimdi Recon ve erken aşama sömürüsüne katılan birçok ulus-devlet hizalı aktörleri gözlemlediklerini söyledi.
Sentinelone araştırmacıları Simon Kenin, Jim Walter ve Tom Hegel, “İlk hedefler, stratejik değer veya yüksek erişimi olan kuruluşlara yönelik etkinliğin başlangıçta dikkatle seçici olduğunu gösteriyor” diye yazdı.
“Kamu açıklamasını takiben faaliyet fırsatçı ve muhtemelen burada tarif ettiğimiz orijinalle ilgisi yok” dedi. “Daha geniş sömürü girişimlerinin hızlanmasını bekliyoruz.”
Analizlerine göre, tehdit aktörleri, uygulamaları toplamak ve test etmek için tuzak honeypot ortamlarında da duruyorlar ve kendi aralarında araç ve tradecraft paylaşıyorlar.
Hepimiz fiyatı ödeyeceğiz
Mevcut saldırı dalgasının kurbanları henüz kamuya açık bir şekilde bilinmemesine rağmen, NordVPN baş teknoloji sorumlusu Marijus Briedis, sonunda, birçoğu SharePoint’i hiç duymamış sıradan insanların bu tür yaygın sorunların sonuçlarına maruz kalacağını söyledi.
“İşvereniniz, bankanız veya sağlık hizmeti sağlayıcınız SharePoint’ten vurulduğunda, tüketici fiyatı ödüyor” dedi.
“SharePoint sunucuları genellikle Outlook ve ekipler gibi diğer Microsoft hizmetlerine bağlanır, yani böyle bir ihlal hızla veri hırsızlığı ve şifre hasatına yol açabilir. E -postalar, finansal kayıtlar ve tıbbi veriler birbirine bağlıdır ve saldırganlar içeri girdikten sonra her şeyi hasat ederler.”
Briedis, tüketicilerin verilerini korumak için kuruluşlara güvenemeyeceğini ve insanları kendilerini güvence altına almak için adımlar atmaya çağırdığını söyledi.
“Güçlü, benzersiz şifreler kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamasını etkinleştirin, çünkü verilerinizin sonunda ihlal edileceğini varsaymak tek gerçekçi yaklaşımdır” diye ekledi.
Yorum için Microsoft ile iletişime geçildi.