Bilgisayar Korsanları Küresel İhlallerde Microsoft SharePoint Açıklarından Yararlanıyor
Microsoft'un şirket içi SharePoint sunucularına yönelik devam eden siber saldırılarla ilgili yeni bilgiler ortaya çıktı ve ilk bakışta anlaşılandan daha geniş bir etki alanı ortaya çıktı. Hackread.com dün, Microsoft'un saldırganların kötü amaçlı kod yürütmesine olanak tanıyan kritik güvenlik açıkları ( CVE-2025-53770 ve CVE-2025-53771 ) için acil uyarılarını ve yeni güvenlik güncellemelerini bildirdi .
Siber güvenlik araştırmacıları, önemli bir artış olduğunu doğruladı : Dünya çapında yaklaşık 100 kuruluşa bugüne kadar başarıyla sızıldı. Bu yaygın istismar, dünya genelinde hükümetleri, işletmeleri ve diğer kuruluşları etkiledi .
Mağdurlar arasında Avrupa ve Ortadoğu'daki ulusal hükümetlerin yanı sıra Eğitim Bakanlığı, Florida Gelir İdaresi ve Rhode Island Genel Meclisi gibi ABD hükümet sistemleri de yer alıyor .
ABD merkezli bir sağlık kuruluşu ve Güneydoğu Asya'daki bir devlet üniversitesi de hedef alındı; Brezilya, Kanada, Endonezya, İspanya, Güney Afrika, İsviçre ve İngiltere gibi ülkelerde de ihlal girişimleri gözlemlendi.
Saldırganların, daha önce bilinmeyen sıfırıncı gün açıklarından yararlandığı ve casusların derin erişim elde edip kalıcı arka kapılar kurmasına olanak tanıdığı bildiriliyor. CrowdStrike, Mandiant Consulting , Shadowserver Foundation ve Eye Security gibi siber güvenlik şirketleri, bu saldırılara karışan birden fazla hacker grubunu takip ediyor.
Hollanda merkezli Eye Security, aktif istismarı ilk olarak Cuma günü tespit etti ve Microsoft'un Temmuz ayı başlarında yayınladığı ilk yamalardan sonra bile, bilgisayar korsanlarının saldırılarına devam etmek için "yamaları aşmanın yollarını" bulduğunu belirtti. CrowdStrike da 18 Temmuz 2025'ten itibaren aktif istismar gözlemleyerek 160'tan fazla müşteri ortamında yüzlerce girişimi engelledi.
CrowdStrike, saldırganların PowerShell komutları aracılığıyla yazıldıktan sonra IIS Makine Anahtarlarını çalmak için kullandıkları "spinstall0.aspx" adlı şüpheli bir dosyanın varlığı, enfeksiyonun yaygın bir işaretidir.
Çalınan bilgiler, kullanıcı adları, parolalar ve karma kodları gibi oturum açma kimlik bilgileri de dahil olmak üzere oldukça hassastır. SharePoint'in Office, Teams, OneDrive ve Outlook gibi diğer Microsoft hizmetleriyle derinlemesine entegrasyonu, bir ihlalin engellenemeyeceği ve Palo Alto Networks'ten Michael Sikorski'ye göre "tüm ağın kapısını açtığı" anlamına gelir.
Microsoft, hafta sonu SharePoint 2019 ve Abonelik Sürümü için yamalar yayınlamış olsa da, SharePoint 2016 güncellemeleri hala geliştirilme aşamasındadır. Kuruluşlara, tehdidi tamamen azaltmak için yalnızca mevcut yamaları uygulamaları değil, aynı zamanda makine anahtarlarını değiştirmeleri ve IIS hizmetlerini yeniden başlatmaları şiddetle tavsiye edilir.
Bu kritik adımlara ek olarak, CISA (Siber Güvenlik ve Altyapı Güvenlik Ajansı) 20 Temmuz 2025'te kendi kılavuzunu yayınladı . Kılavuzda, SharePoint'te Antimalware Scan Interface'in (AMSI) yapılandırılması, tüm SharePoint sunucularına Microsoft Defender AV'nin dağıtılması ve AMSI etkinleştirilemiyorsa, resmi önlemler tamamen uygulanana kadar etkilenen, herkese açık ürünlerin bağlantısının kesilmesi öneriliyor.
Shodan gibi arama motorları tarafından küresel olarak 8.000'in üzerinde olduğu tahmin edilen çok sayıda potansiyel güvenlik açığına sahip SharePoint sunucusu, kapsamlı güvenlik önlemlerine acil ihtiyaç duyulduğunu ortaya koyuyor. Bu ihlaller, Microsoft'un siber güvenlik uygulamalarının yeniden incelenmesine de yol açtı ve 2024 tarihli bir ABD hükümet raporu , güvenlik kültüründe acil reformlar önerdi.
Entrust'ta Küresel Teknik Çözümler Başkan Yardımcısı Robert Hann , "Kriptografik varlık hırsızlığı, yeni 'kimlik avı'dır. Kötü niyetli kişiler, şifre çalmak gibi önemli bir kriptografik varlığı ele geçirmenin, API Anahtarları veya Makine Kimliği gibi, kaba kuvvet yöntemlerinden çok daha kolay olduğunu öğrendiler " dedi.
Robert, "Hassas verileri şifreleme ve HSM'lerle korumak için öncelikle özel anahtarlar, dijital sertifikalar ve şifreleme algoritmaları gibi hangi kriptografik varlıkların hangi sistemleri ve bilgileri güvence altına aldığını anlamak çok önemlidir. Özellikle hassas veya uyumluluk gereklilikleri taşıyan veriler için HSM'den yararlanmak önemlidir," diye tavsiyede bulundu.
"HSM korumasının yanı sıra, şirketlerin SharePoint için diğer güvenlik uygulamalarını da uygulaması büyük önem taşıyor. Örneğin, yazılımı en son yamalar ve güvenlik güncellemeleriyle güncel tutmak, güçlü parolalar kullanmak, anahtarları düzenli olarak devretmek ve güvenli yapılandırma yönergelerini takip etmek gibi." diye vurguladı.
Saldırgan güvenlik şirketi Cobalt'ın CISO'su Andrew Obadiaru'ya göre, "SharePoint gibi yaygın olarak kullanılan platformlardaki sıfır gün güvenlik açıkları, yüksek değerli ortamlara anında ve ölçeklenebilir erişim sağladıkları için saldırganlar için altın madeni niteliğinde. Zorluk sadece yama yapmak değil; saldırganların genellikle saatler içinde kalıcılık mekanizmaları kurarak uzun vadeli tutunma sağlamaları. "
Andrew, "Savunma stratejilerinin, zayıflıkları saldırganlardan önce ortaya çıkarmak için kırmızı takım ve sürekli sızma testleri de dahil olmak üzere proaktif testler yoluyla ihlalleri varsayması ve kontrolleri doğrulaması gerekir. Günümüzün tehdit ortamında, reaktif güvenlik tek başına kaybedilen bir oyundur," diye tavsiyede bulundu.
HackRead
