Microsoft SharePoint Açıkları ve Sonuçları
Son dönemde ortaya çıkan Microsoft SharePoint zafiyetleri, dünya genelindeki birçok kurumu tehdit eder hale geldi. Check Point Research tarafından yapılan incelemelere göre, bu zafiyetlerin istismar edilmeye başlandığı tarih 7 Temmuz 2025’tir. İlk hedeflerin arasında tanımlanmayan büyük bir Batılı devletin olduğu belirtiliyor. Özellikle 18 ve 19 Temmuz tarihlerinde saldırıların yoğunlaştığı ve bu saldırıların kamu, telekomünikasyon ve yazılım sektörlerinde yoğun olarak devam ettiği gözlemlenmiştir.
İlk Belirtiler ve Saldırı IP’leri
Saldırıların başlangıç noktaları olarak 104.238.159[.]149, 107.191.58[.]76 ve 96.9.125[.]147 numaralı IP adresleri tespit edilmiştir. Bu IP adreslerinden biri, daha önce Ivanti Endpoint Manager Mobile üzerinde güvenlik açıklarının istismarında kullanılmıştır. Lotem Finkelstein, Check Point Research’teki Tehdit İstihbarat Direktörü, “Bu durumda, kritik bir zafiyetin dünya genelinde istismar edildiğini gözlemliyoruz. Bu durum, binlerce kurumu tehlikeye atmakta,” demektedir.
Paylaşılan Zafiyetler ve Düzeltme Tarihleri
Açıklanan zafiyetler arasında şunlar yer almaktadır:
- CVE-2025-49704 (CVSS puanı: 8.8) – Microsoft SharePoint Uzaktan Kod Çalıştırma Zafiyeti (8 Temmuz 2025’te düzeltildi)
- CVE-2025-49706 (CVSS puanı: 7.1) – Microsoft SharePoint Server Sahtecilik Zafiyeti (8 Temmuz 2025’te düzeltildi)
- CVE-2025-53770 (CVSS puanı: 9.8) – Microsoft SharePoint Server Uzaktan Kod Çalıştırma Zafiyeti
- CVE-2025-53771 (CVSS puanı: 7.1) – Microsoft SharePoint Server Sahtecilik Zafiyeti
Bu zafiyetler, uzaktan kod çalıştırma ve yetki yükseltme gibi kritik güvenlik tehditlerine yol açabilmektedir. CVE-2025-53770 için geliştirilen zafiyetlerin, Microsoft tarafından daha önce getirilmiş düzeltmelere rağmen aktif bir şekilde istismar edildiği gün yüzüne çıkmıştır.
Saldırı Zincirleri ve Teknikleri
Saldırılar, CVE-2025-53770 ve CVE-2025-49706 zafiyetlerini birleştirerek gerçekleştirilmekte ve bu sayede saldırganlar başlangıç erişimi elde etmektedir. Bitdefender uzmanları, bu zafiyetlerin kötü niyetli ASP.NET web shell’leri kullanılarak istismar edildiğini bildirmektedir. Bu web shell’ler, saldırganların hassas şifreleme anahtarlarını elde etmesini sağlamakta ve ardından kötü niyetli yükler oluşturarak sistem üzerinde kalıcı erişim elde etmektedir.
Coğrafi Yayılım ve Sektörel Etki
Zaafiyetlerin istismarı, ABD, Kanada, Almanya, Meksika, Güney Afrika gibi birçok ülkede gözlemlenmiştir. Palo Alto Networks’ün yaptığı analizlere göre, bu saldırılar teknoloji danışmanlık, imalat, kritik altyapı ve profesyonel hizmetler gibi hassas sektörleri hedef almıştır.
Saldırı Tekniklerinin Gelişimi
Saldırıların ilerleyen dönemlerinde, SPInstall0.aspx adında bir web shell kullanılarak, sunucunun hassas şifreleme bilgileri çıkarılmakta ve bu sayede saldırganlar, kötü niyetli oturum açma belirteçleri (token) elde etmektedir. SentinelOne, bu süreçte 17 Temmuz’da ilk istismar denemelerinin tespit edildiğini bildirmekte ve saldırganların özellikle stratejik öneme sahip kuruluşları hedef aldığının altını çizmektedir.
Olası Tehdit Grubu ve Gelecek Önlemler
Saldırıların ardındaki tehdidin kimliği henüz netlik kazanmasa da, Google’a ait Mandiant şirketi, bu saldırıların ilk aşamalarının Çin kökenli bir hacker grubuna atfedildiğini ifade etmektedir. SharePoint sunucularının hassas kuruluş verilerini barındırdığı göz önüne alındığında, kullanıcıların güvenlik güncellemelerini bir an önce uygulamaları ve sistemlerdeki anahtarları değiştirmeleri kritik önem taşımaktadır.
Microsoft’un bu zafiyetlerle ilgili sunduğu düzeltmeler, daha önceden uygulanan güncellemelerden daha kapsamlı korumalar içermektedir. Ancak, kullanıcıların hızlı hareket etmemesi durumunda daha büyük sorunlarla karşılaşabilecekleri gerçeği unutulmamalıdır.
