CISA ve Microsoft SharePoint Açıkları: Tehditler ve Önlemler
2025 yılında siber güvenlik alanında önemli gelişmeler yaşanıyor. ABD’nin Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 22 Temmuz 2025 tarihinde, iki Microsoft SharePoint açığını, CVE-2025-49704 ve CVE-2025-49706’yı, Bilinen Suistimal Edilen Açıklar (KEV) kataloğuna ekledi. Bu ekleme, aktif sömürülme kanıtlarıyla birlikte gerçekleştirildi. Federal Sivil İcra Dairesi (FCEB) ajanslarının, tespit edilen açıkları 23 Temmuz 2025’e kadar gidermeleri gerekiyor.
CISA’nın güncellenmiş duyurusunda belirtildiği gibi, “CISA, CVE-2025-49706 ve CVE-2025-49704 içeren bir sahteciliği ve uzaktan kod yürütme (RCE) zafiyet zincirinin aktif olarak sömürüldüğüne dikkat çekmektedir.” Bu açıklar, on-premise (yerel) SharePoint sunucularına yetkisiz erişimi sağlamaktadır.
Yerli ve Yabancı Tehdit Grupları
Microsoft’un açıkladığı verilere göre, Çinli hacker grupları, özellikle Linen Typhoon ve Violet Typhoon, bu açıkları kullanarak on-premise SharePoint sunucularına saldırılar düzenlemiştir. Söz konusu saldırıların başlangıcı ise 7 Temmuz 2025 tarihine kadar uzanmaktadır. Microsoft’un açıkladığı diğer açılar arasında CVE-2025-53770 ve CVE-2025-53771 bulunmaktadır.
Hackerların bu zafiyetleri kullanması, siber güvenlik uzmanları arasında ciddi bir endişe yaratmıştır. Özellikle CVE-2025-53770, kimlik doğrulama atlatma ve uzaktan kod yürütme işlevi taşımasıyla dikkat çekiyor. CVE-2025-53771 ise aynı zamanda bir dosya yolundan geçiş zafiyeti olarak sınıflandırılmaktadır.
Tehditlerin Doğası ve Risk Yönetimi
CVE-2025-53770’in temel kaynağı, bir kimlik doğrulama atlatma zafiyeti (CVE-2025-49706) ve bir güvenli olmayan serileştirme açığı (CVE-2025-49704) olarak tanımlanıyor. Akamai Güvenlik İstihbarat Grubu, bu durumun detaylarını araştırarak, zafiyetlerin exploit zincirinin bir araya geldiğini belirtti. Microsoft, tehditlerle ilgili bilgi sağlama sorumluluğunun bilinciyle çalıştığını da ifade etmektedir.
Thacker News’e yapılan açıklamalarda, Microsoft’un yayımlanan bilgilerinin “ilk yayımlanma zamanında doğru” olduğunu ve genellikle güncellenmediğini belirtti. Ancak, bu durum kullanıcılar için kritik bir risk taşımaktadır. Zira Microsoft’un zafiyetleri ile ilgili sağladığı bilgiler, bazı kuruluşların yalnızca kimlik doğrulama zafiyetlerine karşı önlem almasına neden olabilir.
Antimalware Scan Interface (AMSI) ve Mitigasyon Stratejileri
Gelişmelerin ardından watchTowr Labs, CVE-2025-53770’i kullanarak Antimalware Scan Interface (AMSI) üzerinden aşmayı başardıklarını duyurdu. Benjamin Harris, watchTowr CEO’su, “Bu, AMSI uygulandıktan sonra bile hedef sistemleri tanımlamaya devam etmemizi sağlıyor.” ifadelerini kullandı. Ancak, bazı organizasyonların “AMSI’yi etkinleştirme” kararı almasının son derece tehlikeli olduğunu vurguladı.
“CISA’nın çalışmalarını göz önünde bulundurursak, herhangi bir nasyonel devlete bağlı aktörlerin SharePoint sıfır-günü zafiyetinden faydalanamayacağını düşünmek naiflik olur.” diye belirtti. Harris’in endişeleri, ACSI’nin güvenlik katmanının yeterli olmayabileceğine dikkat çekmektedir. Çeşitli kamuya açık kanıtlar, bu zafiyetlerin etkisinin genişletildiğini ve kullanıcıların yanıltılabileceğini göstermektedir.
Kuruluşların Alması Gereken Önlemler
Elde edilen bulgular ışığında, kurumların hızla güncellemeler yapması ve bu tür açıkları kapatmak için gerekli adımları atması diğer bir zorunluluktur. Özellikle, kimlik doğrulama zafiyetleri üzerindeki baskın etkilerin farkında olmak, yöneticilere büyük sorumluluk yüklemektedir.
Tüm bu bilgiler, doğrudan sistem güvenliğini etkileyen önemli tehditleri içermektedir. Kuruluşlar, bu tür zafiyetlere yönelik güncellemeleri uygulamalı ve sürekli olarak sistemlerini gözden geçirmelidir. Bu noktada, zafiyetlerin yönetimi ve siber güvenlik stratejilerinin geliştirilmesi, modern tehditlerle başa çıkmanın anahtarı haline gelmektedir.
