Microsoft SharePoint sistemlerinde tespit edilen iki yeni sıfır gün açığı için acil yama yayınladı
Microsoft, SharePoint sunucularını hedef alan "ToolShell" saldırılarında kullanılan ve daha önceki yamaları atlatan iki kritik güvenlik açığına karşı acil güncelleme yayınladı. Güncellemelerin ardından sistem yöneticilerinin makine anahtarlarını döndürmesi ve log dosyalarını kontrol etmesi tavsiye ediliyor.
Microsoft SharePoint için Acil Güvenlik Güncellemeleri Yayınlandı
Microsoft, SharePoint yazılımında tespit edilen ve dünya genelinde aktif olarak kötüye kullanılan iki sıfır gün (zero-day) açığı için acil güvenlik güncellemeleri yayınladı. Açıklar, CVE-2025-53770 ve CVE-2025-53771 kodlarıyla takip ediliyor.
ToolShell Saldırı Zinciri ve Pwn2Own Yarışması
Mayıs ayında Berlin'de düzenlenen Pwn2Own güvenlik yarışmasında araştırmacılar, "ToolShell" olarak adlandırılan bir güvenlik zafiyeti zinciri aracılığıyla Microsoft SharePoint üzerinde uzaktan kod çalıştırma (RCE) gerçekleştirmeyi başarmıştı.
Bu zafiyetler Temmuz ayındaki Patch Tuesday kapsamında yamalanmış olsa da, saldırganlar bu güncellemeleri atlatan yeni açıklar keşfetti. Şu ana kadar dünya genelinde en az 54 kurum bu saldırılardan etkilenmiş durumda.
Yayınlanan Güncellemeler
Microsoft, SharePoint Subscription Edition ve SharePoint Server 2019 için CVE-2025-53770 ve CVE-2025-53771 açıklarını gideren acil yamaları paylaştı. SharePoint Server 2016 için ise yamaların henüz hazır olmadığı bildirildi.
- SharePoint Server 2019:
KB5002754 - SharePoint Subscription Edition:
KB5002768
Makine Anahtarlarının Döndürülmesi Gerekiyor
Güncellemeden sonra SharePoint sistemlerindeki makine anahtarlarının döndürülmesi öneriliyor. Bu işlem iki şekilde yapılabiliyor:
- PowerShell ile:
Update-SPMachineKey - Merkezi Yönetim Arayüzü: Central Administration → Monitoring → Review job definition → Machine Key Rotation Job → Run Now
İşlem sonrası tüm SharePoint sunucularında iisreset.exe komutu ile IIS yeniden başlatılmalı.
Kötü Amaçlı Dosya Belirtileri Kontrol Edilmeli
Microsoft, sistemlerde saldırıya işaret edebilecek dosya ve log girdilerinin incelenmesini öneriyor. Aşağıdaki bulgulara dikkat edilmelidir:
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspxadlı dosyanın varlığıToolPane.aspxdosyasına yapılan POST istekleriSignOut.aspxreferanslı HTTP log girdileri
Defender ile Tespit Sorgusu:
DeviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine,
FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Eğer dosya tespit edilirse, etkilenen sunucuda ve bağlı sistemlerde geniş çaplı bir güvenlik analizi yapılması gerekmektedir.
Kaynak: CUMHA - CUMHUR HABER AJANSI
