Fordiguard Labs, şirket içi Microsoft SharePoint sunucularını hedeflemek için çoklu tehdit aktörleri tarafından aktif olarak kullanılan “araç kepçe” olarak adlandırılan kritik yeni bir istismar zinciri belirledi.
Bu sofistike saldırı, tam uzaktan uzak kod yürütme ve sistem devralma elde etmek için daha önce yamalı iki güvenlik açıkını iki taze sıfır günlük varyantla birleştirir.
| CVE numarası | Durum | Tanım |
| CVE-2025-49704 | Önceden yamalı | İstismar zincirinde kullanılan SharePoint güvenlik açığı |
| CVE-2025-49706 | Önceden yamalı | İstismar zincirinde kullanılan SharePoint güvenlik açığı |
| CVE-2025-53770 | Gündüz | Uzaktan kod yürütme için yeni SharePoint güvenlik açığı |
| CVE-2025-53771 | Gündüz | Uzaktan kod yürütme için yeni SharePoint güvenlik açığı |
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bu CVE’leri, artan tehdit seviyesi ve vahşi doğada aktif sömürü nedeniyle bilinen sömürülen güvenlik açıklarının kataloğuna ekledi.
Araç kaşık kampanyası, Sharepoint hedefli saldırılarda önemli bir yükselmeyi temsil ederek güvenlik önlemlerini atlamak ve kurumsal sunuculara kalıcı erişim sağlamak için dört farklı güvenlik açıklarının bir kombinasyonundan yararlanır.
Tehdit aktörleri, güvenilir sistemler üzerinde tam idari kontrol sağlayan gelişmiş web mermileri ve keşif araçları dağıtmak için bu kusurlardan yararlanıyor.
Saldırı özellikle Microsoft SharePoint Enterprise Server 2016, Microsoft Sharepoint Server 2019 ve Microsoft SharePoint Server abonelik sürümünü hedefler ve bu platformları çalıştıran herhangi bir kuruluşu potansiyel olarak etkilemektedir.
Şiddet, tam sistem uzlaşması potansiyeli ve çoklu tehdit aktör gruplarında aktif sömürü gözlemlenmesi nedeniyle kritik olarak sınıflandırılmıştır.
Saldırı, kovma sonrası faaliyetler için iki temel araç kullanır. Birincisi, GhostWebshell, uzaktan kod yürütme ve kalıcı erişim için tasarlanmış sofistike bir ASP.net web kabuğudur.
Bu araç, bir komut parametresini ortaya çıkaran ve saldırganların “cmd.exe /c” işlemleri aracılığıyla keyfi sistem komutlarını yürütmesine izin veren Base64 kodlu bir ASP.NET sayfası yerleştirir.
İkinci bileşen Keysiphon, keşif ve kimlik bilgisi hasatına odaklanıyor.
Bu araç, mantıksal sürücüler, makine adı, CPU spesifikasyonları ve işletim sistemi detayları dahil olmak üzere sistem bilgilerini toplayarak tehlikeye atılan ana bilgisayarı parmak izler.
En eleştirel olarak, tuşlar uygulama doğrulama ve şifre çözme anahtarlarını çıkarır, saldırganların kimlik doğrulama jetonlarını oluşturmasını ve korunan verileri manipüle etmesini sağlar.
Fortinet, Araç Kafası kampanyasına karşı kapsamlı korumalar yayınladı. FortiGuard Antivirüs servisi kötü amaçlı yazılım bileşenlerini algılar ve engellerken, bir IPS imzası “Ms.Sharepoint.Toolshell.Remote.code.Execution” ağ düzeyinde koruma sağlar.
Kuruluşlara, pozlama pencerelerini kapatmak için hızlı yama, katmanlı ağ algılama ve titiz günlük izleme uygulamaları tavsiye edilir.
Araç kaşık kampanyası, sofistike tehdit aktörleri tarafından SharePoint altyapısının devam eden yüksek değerli hedeflemesini göstermektedir.
Aktif sömürü hızlandırma ve çoklu sıfır gün güvenlik açıkları ile ilgili, derhal yama ve geliştirilmiş izleme, örgütsel güvenlik için gereklidir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now