SHAREPOint Sunucuları Tespit etmek için Yeni Tarayıcı Saldırı 0 Günlük Saldırıya Güvenli

Kritik sıfır gün istismarı CVE-2025-53770’e karşı savunmasız SharePoint sunucularını tanımlamak için açık kaynaklı bir tarama aracı yayınlandı.

GitHub’da bulunan yeni yayınlanan tarayıcı, kuruluşların vahşi doğada aktif olarak sömürülen bu yetkili olmayan uzaktan kod yürütme kırılganlığı için SharePoint altyapılarını hızla değerlendirmelerini sağlar.

Key Takeaways
1. Open-source tool detects SharePoint servers vulnerable to critical zero-day CVE-2025-53770.
2. Allows unauthenticated remote code execution on unpatched SharePoint servers.
3. Scan infrastructure and install Microsoft security patches.

Araç, sistem hasarına neden olmadan sömürülebilirliği onaylamak için SharePoint’in araç kutusu widget’ına zararsız test işaretleyicileri enjekte ederek çalışır.

SharePoint RCE kusurunun yeni tarayıcısı

Niels Hofmans tarafından tanımlanan CVE-2025-53770 tarayıcı, şirket içi SharePoint ortamlarını çalıştıran kuruluşlar için önemli bir savunma kaynağını temsil eder.

Aktif saldırılarda gözlemlenen kötü amaçlı yüklere uygulanan ters mühendislik teknikleri ile geliştirilen araç, sistem yöneticilerine savunmasız kurulumları tanımlamak için basit bir yöntem sağlar.

Tarayıcı, bu şiddetli güvenlik açığını yamalayan kritik güvenlik güncellemeleri KB5002768 ve KB5002754’ten yoksun SharePoint sunucularını hedefler.

Komut satırı aracı basit sözdizimi ile çalışır: ./cve-2025-53770 [ …]birden fazla SharePoint örneğinin toplu taramasını aynı anda etkinleştirme.

-Log = hata ayıklama -sürüm parametreleri kullanılarak hata ayıklama günlüğü etkinleştirildiğinde yürütüldüğünde, tarayıcı güvenlik açığı test ederken ayrıntılı SharePoint sürüm bilgilerini çıkarmaya çalışır.

Kuruluşlar, “MicrosoftSharepointTeamServices: 16.0.0.5469” gibi sürüm detaylarının yanı sıra, uzlaşılmış sistemler için uyarılar gösterilen, güvenlik açığı durumunu gösteren net çıktı bekleyebilir.

Güvenlik açığı, SharePoint’in Araç Panosu.aspx uç noktasını, /_layouts/15/toolpane.aspx?displaymode=edit&a=/toolpane.aspx adresine dikkatle hazırlanmış HTTP yayın istekleri ile kullanır.

Saldırı mekanizması iki kritik form parametresi kullanır: kontrol kaynak yolu doğrulaması için msotlpn_uri ve web bölümü yapılandırma enjeksiyonu için msotlpn_dwp.

Kötü niyetli yük yapısı, <%@ register tagprefix = ”skor kartı” ad alanı = ”microsoft.perforcepoint.scorecards” ve sunucu tarafı işaretleme dahil olmak üzere ASP.NET yönergelerini içerir. .

Exploit, sıkıştırma tabanlı parametre aracılığıyla GZIP sıkıştırılmış, baz64 kodlu serileştirilmiş verileri sunarak, searalizasyon tabanlı uzaktan kod yürütülmesini tetikler.

Tarayıcının kavram kanıtı yükü, sistem uzlaşması olmadan sömürülebilirliği göstermek için “Bu zararsız bir CVE-2025-53770 POC markeridir” işaretiyle zararsız bir XML yapısı içerir.

Hafifletme

Güvenlik uzmanları, CVE-2025-53770’in daha önce açıklanan SharePoint güvenlik açığı CVE-2025-49706’ya dayandığını ve SharePoint hedefli saldırı metodolojilerinde bir evrimi gösterdiğini vurgulamaktadır.

Güvenlik açığı, SharePoint çalışma zamanı işlemini doğrudan etkiler ve saldırganların System.DelegateSerializationholder Deserialization Saldırıları aracılığıyla sistem düzeyinde kod yürütülmesini sağlar.

Tehdit aktörleri, tehlikeye atılan SharePoint ortamlarına kalıcı erişim sağlamak için bu vektör aracılığıyla PowerShell kodlu komutlardan yararlandığı gözlemlenmiştir.

Tarayıcının Docker desteği ile GitHub’daki kullanılabilirliği, kurumsal ortamlar arasında hızlı bir şekilde konuşlandırmayı kolaylaştırır.

Kuruluşlar, altta yatan güvenlik açığını gidermek için Microsoft’un güvenlik yamalarının kurulumuna öncelik verirken, SharePoint altyapılarını değerlendirmek için bu aracı derhal dağıtmalıdır.

Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi