Microsoft SharePoint Güvenlik Açıkları ve Tehditler
Son günlerde, Microsoft‘un ortaya çıkardığı güvenlik açıkları, özellikle SharePoint Server kullanıcılara ciddi tehditler oluşturmakta. Microsoft, bu güvenlik açıklarının iki Çinli hacker grubuyla ilişkili olduğunu duyurdu: Linen Typhoon ve Violet Typhoon. Ayrıca, üçüncü bir tehdit aktörü olarak tanımlanan Storm-2603 de bu açıkları istismar ediyor.
Güvenlik uzmanları, bu tehditlerin hızla yayıldığını ve hackerların, özellikle yamanmamış on-premises SharePoint sistemleri üzerinde bu açıkları kullanarak saldırılara devam etmelerini bekliyor. Bu durum, birçok kuruluşa büyük riskler doğuruyor.
Tehdit Aktörleri ve Özellikleri
Linen Typhoon, APT27 ve Bronze Union gibi kimlikleri ile bilinen bir hacker grubudur ve 2012 yılından beri aktif olduğunu gösteren bir geçmişe sahiptir. Bu grup, geçmişte SysUpdate, HyperBro ve PlugX gibi kötü amaçlı yazılım aileleri ile ilişkilendirilmiştir.
Violet Typhoon ise, 2015 yılından beri faaliyet gösteren APT31 grubu olarak tanımlanmaktadır. Bu grup, daha önce ABD, Finlandiya ve Çek Cumhuriyeti’ne yönelik saldırılar gerçekleştirmiştir.
Storm-2603, daha az bilinen bir aktör olmakla birlikte, Warlock ve LockBit fidye yazılımlarını daha önce kullanmıştır. Bu gruplar, Microsoft’un güvenlik açıklarını istismar ederek hedef kuruluşlara sızmak için aktif olarak çalışmaktadırlar.
Güvenlik Açıkları ve İstismar Yöntemleri
Microsoft’un belirttiğine göre, söz konusu güvenlik açıkları, CVE-2025-49706 ve CVE-2025-49704 gibi önemli güvenlik açıklarını içeriyor. Bu açıklar, on-premises SharePoint sunucularını hedef alarak kötü niyetli kişiler tarafından istismar edilmektedir.
Saldırganlar, yönlendirme noktası olan ToolPane arayüzüne bir POST isteği göndererek, kimlik doğrulama atlaması ve uzaktan kod yürütme gerçekleştirmektedir. Bu durum, saldırı zincirinin bir parçası olarak bir web shell’in yerleştirilmesine yol açmaktadır. Bu shell, “spinstall0.aspx” gibi isimlerle bilinir ve saldırganların MachineKey verilerini almasına olanak tanır.
Cybersecurity araştırmacısı Rakesh Krishnan, SharePoint istismarında “üç ayrı Microsoft Edge çağrısının” tespit edildiğini belirtti. Bu süreçlerde Network Utility Process, Crashpad Handler ve GPU Process gibi işlevler karşımıza çıkmaktadır. Bu analizler, kötü niyetli trafiği maskelemeye yönelik bir strateji ortaya koymaktadır.
Risk Yönetimi ve Alınacak Önlemler
Microsoft, kullanıcıların SharePoint sunucularının en son güncellemelerini, özellikle SharePoint Server Subscription Edition, SharePoint Server 2019 ve SharePoint Server 2016 için uygulamalarını önermektedir. Bunun yanı sıra, SharePoint sunucularının ASP.NET makine anahtarlarını döndürebilir, Internet Information Services (IIS) hizmetlerini yeniden başlatabilir ve Microsoft Defender for Endpoint ya da benzeri çözümleri uygulayabilirler.
Ayrıca, Antimalware Scan Interface (AMSI) ve Microsoft Defender Antivirus gibi güvenlik çözümlerinin entegrasyonu ile tüm on-premises SharePoint dağıtımlarında Full Mode olarak yapılandırılması, ek bir önlem olarak önerilmektedir. Microsoft, bu önlemlerin acilen uygulanması gerekliliğine dikkat çekmektedir.
Geçmişteki İlişkili Saldırılar
Bu yeni saldırı kampanyası, daha önce yaşanan ve Beijing ile bağlantılı olan başka bir dizi saldırı ile birleşmektedir. 2021 Mart ayında, Silk Typhoon (ya da Hafnium) grubu, Exchange Server üzerinde bir dizi açık istismar etmişti. Bu, daha geniş çaplı ProxyLogon olarak bilinen saldırıları doğurmuştu.
Bununla birlikte, bu ay İtalya’da tutuklanan 33 yaşındaki Xu Zewei’nin, Amerikan kuruluşları ve hükümet ajanslarına karşı siber saldırılar gerçekleştirdiği belirlenmiştir. Xu’nun, Microsoft Exchange Server açıklarını silahlandırarak bu tür saldırılar gerçekleştirdiği aktarılmıştır.
Güvenlik açıkları, siber tehditlerin sürekli olarak evrilmesi ve yeni yöntemlerin geliştirilmesi ile birlikte artan riskleri de beraberinde getirmektedir. Bu nedenle, organizasyonların güvenlik güncellemelerini sürekli takip etmeleri ve gerekli önlemleri almaları oldukça önemlidir.
