Yakın tarihli bir soruşturma, Microsoft’un Çin merkezli hackerlar tarafından yakın zamanda tehlikeye atılan aynı işbirliği platformu olan SharePoint yazılımını sürdürmek ve desteklemek için Çin merkezli mühendisleri istihdam ettiğini ortaya koydu.
Bu vahiy, yüzlerce devlet kurum ve özel şirket tarafından kullanılan kritik altyapı sistemlerinde siber güvenlik uygulamaları ve potansiyel içeriden gelen tehditler hakkında önemli endişeler doğurur.
Microsoft’un geçen ay açıkladığı siber güvenlik olayı, 7 Temmuz 2025 gibi başlayan SharePoint “OnPrem” kurulumlarına yönelik sofistike saldırılar içeriyordu.
Çinli bilgisayar korsanları, SharePoint’in şirket içi versiyonundaki güvenlik açıklarından başarılı bir şekilde yararlandı ve Ulusal Nükleer Güvenlik İdaresi ve İç Güvenlik Departmanı da dahil olmak üzere birçok yüksek profilli hedefte bilgisayar sistemlerine yetkisiz erişim elde etti.
Saldırı, korsanların 8 Temmuz’daki ilk güvenlik yamasından sonra bile erişimi sürdüren gelişmiş kalıcı tehdit yetenekleri gösterdi.
ProPublica analistleri, iç Microsoft çalışma izleme sistemi ekran görüntüleri aracılığıyla operasyonel yapıyı belirledi ve Çin merkezli mühendislik ekiplerinin birkaç yıl boyunca SharePoint bakım ve hata düzeltmelerinden sorumlu olduğunu ortaya koydu.
Bu keşif, güvenlik ihlaline rahatsız edici bir boyut katıyor, çünkü yazılımın bütünlüğünü korumakla görevlendirilen aynı personel, rakiplerin yararlanabileceği güvenlik açıkları yaratmış olabilir.
Güvenlik açığının teknik kapsamı, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, istismarların saldırganların “dosya sistemleri ve dahili yapılandırmalar dahil olmak üzere SharePoint içeriğine tam olarak erişmesini ve ağ üzerinde kod yürütmesini” doğruladığını doğruladı.
Saldırı vektörü, uzaktan kod yürütülmesine izin verdi ve bilgisayar korsanlarına tehlike altına alınmış sistemler üzerinde etkili bir şekilde ayrıcalıklar verdi.
Kalıcılık ve Kaçınma Mekanizmaları
SharePoint istismarı, saldırganların ilk iyileştirme çabalarından sonra bile erişimi sürdürmesine izin veren sofistike kalıcılık taktikleri gösterdi.
Microsoft 8 Temmuz’da ilk güvenlik yamasını yayınladığında, tehdit aktörleri yöntemlerini yeni korumaları atlamak için hızla uyarladı ve şirketi sonraki yamalarda ek “daha sağlam koruma” geliştirmeye zorladı.
Kalıcılık mekanizması muhtemelen kötü amaçlı kodun SharePoint’in yapılandırma dosyalarına yerleştirilmesini ve platformun kapsamlı dosya sistemi erişim özelliklerinden yararlanmayı içeriyordu.
Saldırganlar, kimlik doğrulama modüllerini değiştirerek veya SharePoint altyapısında gizli idari hesaplar oluşturarak arka planlar kurabilirler. Bu yaklaşım, standart güvenlik izleme araçları tarafından tespit edilmezken, hassas hükümete ve kurumsal verilere sürekli erişim sağladı.
Microsoft, güvenlik sonuçlarını kabul etti ve Çin tabanlı destek operasyonlarını alternatif yerlere yerleştirme planlarını açıkladı.
Şirket, tüm çalışmaların ABD merkezli denetim altında zorunlu güvenlik incelemeleriyle gerçekleştirildiğini vurgulamış olsa da, uzmanlar bu tür gözetim önlemlerinin yabancı personelin hassas sistem bakımını ele almasının doğal risklerini yeterince azaltıp hafifletmediğini sorgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.