Microsoft SharePoint sıfır gün açığı saldırılarda kullanılıyor: 29 kuruma sızıldı, yama henüz yayımlanmadı
Microsoft, SharePoint Server yazılımında tespit edilen ve halen aktif şekilde istismar edilen kritik bir sıfır gün açığına karşı uyarıda bulundu. CVE-2025-53770 kodlu açıklık için henüz güvenlik güncellemesi bulunmuyor; dünya genelinde 85'ten fazla sunucunun ele geçirildiği ve aralarında çok uluslu şirketler ile kamu kurumlarının da olduğu 29 kuruma sızıldığı bildirildi.
Microsoft, SharePoint Server ürününde bulunan ve aktif olarak istismar edilen kritik bir sıfır gün güvenlik açığını duyurdu. CVE-2025-53770 koduyla takip edilen açık, yerel sunucularda çalışan SharePoint sistemlerini etkiliyor. Microsoft 365 hizmeti bu açıklıktan etkilenmiyor.
Söz konusu zafiyet, daha önce Pwn2Own Berlin 2025 etkinliğinde gösterilen ve "ToolShell" olarak adlandırılan saldırı zincirinin bir varyantı olarak değerlendiriliyor. Orijinal zincirde yer alan CVE-2025-49706 ve CVE-2025-49704 kodlu açıklıklar Temmuz yamasıyla kapatılmış olsa da, benzer bir teknikle çalışan yeni açık tespit edildi.
Microsoft’un açıklamasına göre, saldırganlar bu zafiyet yoluyla sunucuya bir .aspx dosyası yükleyerek uzaktan kod çalıştırma (RCE) gerçekleştirebiliyor. Bu işlem sırasında, SharePoint sunucusuna ait kriptografik anahtarlar ele geçirilerek sistem üzerinde yetkili işlemler yapılabiliyor.
85'ten fazla sunucu tehlikede, 29 kurum etkilendi
Saldırı ilk olarak Hollanda merkezli siber güvenlik firması Eye Security tarafından 18 Temmuz’da fark edildi. Firmanın açıklamasına göre, saldırılarda “spinstall0.aspx” adlı zararlı bir dosya kullanılarak SharePoint sunucularının yapılandırma dosyalarındaki ValidationKey ve DecryptionKey bilgileri sızdırılıyor.
Eye Security CTO’su Piet Kerkhofs, saldırıların dünya çapında 85'ten fazla sunucuyu etkilediğini, yapılan kümeleme çalışmaları sonucunda ise 29 kurumun doğrudan hedef alındığını açıkladı. Bu kurumlar arasında çok uluslu şirketler ve devlet kurumları da bulunuyor.
Henüz yama yok, geçici önlem önerileri
Microsoft, açığa yönelik resmi bir güvenlik yaması yayımlanmadığını belirtti. Geçici önlem olarak, AMSI (Antimalware Scan Interface) entegrasyonunun aktif hale getirilmesi ve tüm SharePoint sunucularında Defender Antivirus kurulmasının önerildiği bildirildi.
Bu özellik, Eylül 2023’ten itibaren yayımlanan güvenlik güncellemeleriyle varsayılan olarak etkinleştirilmiş durumda. Ancak manuel kurulum yapan ya da güncelleme almayan sistemlerde etkin olmayabileceği belirtiliyor. Microsoft, AMSI etkinleştirilemeyen sistemlerin internet bağlantısının kesilmesini tavsiye ediyor.
İhlal tespit yöntemleri ve göstergeleri
Microsoft ve Eye Security, saldırıya uğrayan sistemleri tespit edebilmek için aşağıdaki Göstergeleri (IOC) paylaştı:
-
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspxdosyasının varlığı -
IIS loglarında
/_layouts/15/ToolPane.aspxadresine POST isteği yapılması -
HTTP Referer bilgisinin
/_layouts/SignOut.aspxolması -
Şu IP adreslerinden gelen bağlantılar:
107.191.58.76,104.238.159.149,96.9.125.147
Bu belirtilere rastlanan sistemlerin derhal ağ bağlantısının kesilmesi, sistemlerin çevrimdışı alınması ve kapsamlı güvenlik analizleri yapılması gerektiği vurgulandı.
Uzmanlar, bazı güvenlik duvarlarının bu saldırıları durdurabildiğini belirtse de, imza tabanlı korumanın aşılması halinde yayılımın artabileceğine dikkat çekiyor.
Kaynak: CUMHA - CUMHUR HABER AJANSI
