Microsoft, SharePoint'in Eski Sürümlerini Hayata Geçirdi. Bilgisayar Korsanları Bundan Faydalanıyor

Bu hafta dünya çapında yüzlerce kuruluş , Microsoft'un SharePoint olarak bilinen dosya paylaşım aracının eski sürümlerinde yakın zamanda keşfedilen bir güvenlik açığından yararlanmak için harekete geçen bir dizi bilgisayar korsanının saldırısına uğradı. Bu ihlaller, zaten acil ve karmaşık olan bir dinamiğe daha da fazla etki ediyor: Uzun süredir SharePoint kullanan kurumlar, tıpkı Microsoft'un daha yeni bulut hizmetleri lehine bir platforma verdiği desteği azaltması gibi, hizmeti kullanmaya devam ederek daha fazla riskle karşı karşıya kalabilirler.

Microsoft Salı günü yaptığı açıklamada , diğer aktörlerin yanı sıra, özellikle kuruluşlar tarafından kendi barındırılan eski SharePoint sürümlerinde bulunan bu açığı Çin bağlantılı çok sayıda bilgisayar korsanının da kullandığını belirtti. Ancak bu durum, Microsoft'un müşterilerini yıllardır benimsemeye teşvik ettiği yeni, bulut tabanlı SharePoint sürümünü etkilemiyor. Bloomberg, Çarşamba günü ilk olarak, kurbanlardan birinin ABD nükleer silahlarını denetleyen ve bakımını yapan ABD Ulusal Nükleer Güvenlik İdaresi (NSA) olduğunu bildirdi .

"Şirket içi" veya kendi kendine yönetilen SharePoint sunucuları, bilgisayar korsanları için popüler bir hedeftir, çünkü kuruluşlar genellikle bunları açık internette savunmasız olacak şekilde kurar ve ardından bunları unutur veya bunları değiştirmek için bütçe ayırmak istemezler. Düzeltmeler mevcut olsa bile, sahibi bunları uygulamayı ihmal edebilir. Ancak bu haftaki saldırı dalgasını başlatan hatada durum böyle değil. Mayıs ayında Berlin'de düzenlenen Pwn2Own hacker yarışmasında keşfedilen önceki bir SharePoint güvenlik açığıyla ilgili olsa da, Microsoft'un bu ayın başlarında yayınladığı yamanın kendisi hatalıydı , yani güvenlik incelemelerini yapan kuruluşlar bile hazırlıksız yakalandı. Microsoft bu hafta bu düzeltme için bir düzeltme veya şirketin güvenlik uyarısında "daha güçlü korumalar" olarak adlandırdığı bir düzeltme yayınlamak için çabaladı.

Microsoft sözcüsü e-postayla gönderdiği bir açıklamada, "Microsoft olarak, Güvenli Gelecek Girişimi'ne dayanan taahhüdümüz, müşterilerimizin bulunduğu yerde onlarla buluşmak," dedi. "Bu, şirket içi sistemleri yönetenler de dahil olmak üzere, bulut benimseme sürecinin tüm alanlarındaki kuruluşları desteklemek anlamına geliyor."

Microsoft, SharePoint Server 2016 ve 2019 sürümlerini güvenlik güncelleştirmeleri ve diğer düzeltmelerle desteklemeye devam ediyor; ancak her ikisi de Microsoft'un "Destek Sonu" olarak adlandırdığı tarihe 14 Temmuz 2026'da ulaşacak . SharePoint Server 2013 ve önceki sürümleri kullanım ömrünün sonuna ulaştı ve yalnızca "SharePoint Server Abonelik Sürümü" adlı ücretli bir hizmet aracılığıyla en kritik güvenlik güncelleştirmelerini alıyor. Sonuç olarak, tüm SharePoint sunucu sürümleri, yazılımı çalıştırmaya devam etmenin kolaylığının kullanıcılar için önemli riskler ve potansiyel riskler taşıdığı, özellikle de SharePoint sunucuları internette açıkta kaldığında, giderek daha fazla dijital bir durgunluğun parçası haline geliyor.

"Yıllar önce Microsoft, SharePoint'i eski Windows dosya paylaşım araçlarının daha güvenli bir alternatifi olarak konumlandırmıştı, bu yüzden devlet kurumları gibi kuruluşlar bu sunucuları kurmak için yatırım yaptı. Ve şimdi, bulutta abonelik gerektiren bir Microsoft365 aboneliğinin aksine, hiçbir ek ücret ödemeden çalışıyorlar," diyor Hunter Strategy'de araştırma ve geliştirmeden sorumlu başkan yardımcısı ve uzun süredir olay müdahale uzmanı olan Jake Williams. "Bu nedenle Microsoft, uzatılmış destek için ücret talep ederek direnenleri teşvik etmeye çalışıyor. Ancak bir SharePoint sunucusunu internete açıyorsanız, olay müdahalesi için de bütçe ayırmanız gerektiğini vurgulamak isterim, çünkü bu sunucu sonunda çökecektir."

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Salı günü güvenlik açığıyla ilgili yayınladığı kılavuzda , "CISA, kullanım ömrü (EOL) veya hizmet sonu (EOS) dolan SharePoint Server'ın halka açık sürümlerinin bağlantısının kesilmesini öneriyor. Örneğin, SharePoint Server 2013 ve önceki sürümleri kullanım ömrünün sonuna gelmiştir ve hala kullanımdaysa kullanımdan kaldırılmalıdır." ifadelerini kullandı.

Microsoft'un Windows işletim sisteminin dünya çapında yaygınlığı, uzun süreli bir vedanın, bekleyen kullanıcılar ve savunmasız bir kuruluşla bağlantısı olan diğer kuruluşlar veya bireyler için güvenlik sorunları yarattığı başka durumlara da yol açtı. Microsoft, Windows XP ve Windows 7 gibi son derece popüler Windows sürümlerindeki uzun kullanıcı kuyruğuyla başa çıkmakta zorlandı. Ancak eski yazılımlar, her yazılım veya dijital altyapı sağlayıcısı için bir zorluk teşkil ediyor. Örneğin, bu yılın başlarında Oracle'ın, saldırganların 2017'de büyük ölçüde kullanımdan kaldırılan bir "eski ortamı" tehlikeye atmasının ardından bazı müşterilerini bir ihlal hakkında bilgilendirdiği bildirildi .

SharePoint gibi bir hizmetin zorluğu, çoğu zaman dikkatin odağı olmadan yardımcı bir araç gibi davranmasıdır.

Siber güvenlik şirketi Tenable'ın baş güvenlik sorumlusu Bob Huber, "Microsoft kimlik yığınına derinlemesine entegre edilmiş SharePoint gibi şirket içi yazılımlar için, kritik açıkları bilmek, açığa çıkarmak ve kapatmak amacıyla sürekli olarak izlenmesi gereken birden fazla açık noktası bulunuyor" diyor.

Ulusal Nükleer Güvenlik İdaresi'ndeki iddia edilen ihlal sorulduğunda, Enerji Bakanlığı, olayın hassas veya gizli verileri etkilemediğini vurguladı. Bir Enerji Bakanlığı sözcüsü WIRED'a yaptığı açıklamada, "18 Temmuz Cuma günü, Microsoft SharePoint sıfır gün açığının istismarı, NNSA da dahil olmak üzere Enerji Bakanlığı'nı etkilemeye başladı," dedi. "Bakanlık, Microsoft M365 bulutunu yaygın olarak kullanması ve son derece yetenekli siber güvenlik sistemleri sayesinde minimum düzeyde etkilendi. Çok az sayıda sistem etkilendi. NNSA, riski azaltmak ve uygun görüldüğü takdirde diğer hizmetlere geçiş yapmak için gerekli önlemleri alıyor."

Microsoft, WIRED'ın SharePoint Server'ın kullanımdan kaldırılması süreciyle ilgili yorum taleplerine hemen yanıt vermedi. Şirket, Salı günü yayınladığı bir blog yazısında , müşterilerin desteklenen SharePoint Server sürümlerini en son yamalarla güncel tutmaları ve Microsoft'un "Antimalware Scan Interface" ve Microsoft Defender Antivirus'ü etkinleştirmeleri gerektiğini belirtti.