Microsoft, SharePoint saldırılarını Çin bağlantılı hacker gruplarına bağladı: ToolShell istismar zinciriyle dünya genelinde onlarca kurum hedef alındı

Microsoft, SharePoint yazılımında tespit edilen sıfır gün güvenlik açıklarının Çin bağlantılı siber tehdit grupları tarafından aktif olarak istismar edildiğini açıkladı. ToolShell olarak adlandırılan bu saldırı zinciri, dünya çapında onlarca kuruluşun sistemlerine sızılmasına neden oldu.

Microsoft’un Salı günü yayımladığı teknik rapora göre, saldırılar Linen Typhoon ve Violet Typhoon isimli iki Çin devlet destekli aktör ile ilişkilendirildi. Ayrıca Storm-2603 kod adıyla izlenen bir başka Çin merkezli grubun da aynı güvenlik açıklarını kullandığı doğrulandı.

Hedefler: Kamu kurumları, yazılım şirketleri, telekom sektörü
Hollanda merkezli Eye Security şirketi, saldırıların ilk olarak 7 Temmuz'da tespit edildiğini ve en az 54 kurumun etkilendiğini açıkladı. Bu kurumlar arasında çok uluslu şirketler ve bazı hükümet organları yer alıyor. Check Point tarafından yapılan açıklamada ise saldırıların Kuzey Amerika ve Batı Avrupa’da kamu, telekomünikasyon ve yazılım sektörlerini hedef aldığı belirtildi.

Zafiyet zinciri ve CVE kodları
Söz konusu saldırılar, CVE-2025-49704 ve CVE-2025-49706 kodlu iki SharePoint açığını istismar ederek başladı. Microsoft, 16 Temmuz’daki Yama Salı (Patch Tuesday) güncellemeleriyle bu açıkları kapattı ve sonrasında yeni tanımlanan açıklar için CVE-2025-53770 ve CVE-2025-53771 kodlarını verdi.

Bu açıklar, kimlik doğrulama gerektirmeden saldırganların SharePoint içeriklerine tam erişim sağlamasına ve ağ üzerinden kod yürütmesine olanak tanıyor. Microsoft, SharePoint 2016, 2019 ve Abonelik sürümleri için acil yama güncellemeleri yayımladı.

PoC istismarı yayımlandı, saldırı riski arttı
Microsoft’un yamaları yayımlamasının ardından, CVE-2025-53770 için bir PoC (kavramsal ispat) kodu GitHub üzerinde paylaşıldı. Bu durum, daha fazla saldırganın açığı kullanma riskini artırıyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu zafiyeti “Bilinen İstismar Edilen Güvenlik Açıkları” listesine ekledi ve tüm federal kurumlara yamaları ivedilikle uygulama talimatı verdi.

ToolShell saldırı zinciri neler içeriyor
CISA'nın açıklamasına göre ToolShell, yetkisiz sistem erişimi sağlayarak dosya sistemleri ve yapılandırmalar dahil olmak üzere tüm SharePoint içeriklerine ulaşılmasına ve komut çalıştırılmasına olanak tanıyor.

Microsoft ayrıca güvenlik ekiplerinin ağlarında kompromize olmuş SharePoint sunucularını tespit etmesine yardımcı olmak amacıyla aşağıdaki göstergeleri (IOC) paylaştı:

• IP adresleri:
  134.199.202[.]205
  104.238.159[.]149
  188.130.206[.]168
  131.226.2[.]6 (komuta ve kontrol sunucusu)

• Web shell dosyaları:
  Spinstall0.aspx, spinstall.aspx, spinstall1.aspx, spinstall2.aspx

• Kötü amaçlı PowerShell bağlantısı:
  c34718cbb4c6.ngrok-free[.]app/file.ps1

Tavsiye edilen adımlar
CISA ve Microsoft, SharePoint sunucularını yerel (on-premise) olarak kullanan tüm kurumlara acilen yamaları uygulama, ağ trafiğini izleme ve sistem güncellemelerini tamamlama çağrısında bulunuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI