Son Gelişmeler: Çin İlişkili Hackerlar ve Microsoft SharePoint Açığı
Son zamanlarda, Çin hükümetiyle bağlantılı hackerlar, Microsoft SharePoint’teki sıfırıncı gün açıklarından yararlanarak birçok kuruluşa siber saldırılar gerçekleştirdi. Bu tür saldırılar, dünya genelinde dozens of organizations (birçok kuruluş) üzerinde olumsuz etki yarattı. Hacker grupları, “ToolShell” adlı bir exploit zinciri kullanarak, kurumsal SharePoint sunucularına sızma gerçekleştirdi.
“Saldırılara katılanların en az birinin Çin merkezli bir tehdit aktörü olduğunu değerlendiriyoruz,” diyor Google Cloud’un Mandiant Consulting CTO’su Charles Carmakal, BleepingComputer’a verdiği demeçte. “Birçok aktör bu açığı kullanarak aktif şekilde saldırılar düzenliyor. Bu trendin devam edeceğini öngörüyoruz,” şeklinde de ekliyor.
Microsoft SharePoint Saldırısı: Detaylar ve Etkiler
Geçtiğimiz günlerde, Hollandalı siber güvenlik firması Eye Security, CVE-2025-49706 ve CVE-2025-49704 açıklarını hedef alan sıfırıncı gün saldırılarını ilk olarak tespit etti. Bu açıklar, Berlin’deki Pwn2Own hacking yarışmasında Viettel Siber Güvenlik araştırmacıları tarafından ilk kez gösterilmişti.
Eye Security, raporlarında en az 54 kuruluşun saldırıya uğradığını, bunlar arasında çok uluslu şirketler ve ulusal hükümet kuruluşları olduğunu belirtti. Microsoft, bu iki açığı temmuz ayındaki Patch Tuesday güncellemeleri kapsamında kapatmıştı. Bunun yanı sıra hackerların tam yamanmış SharePoint sunucularına nüfuz etmek için kullandığı yeni iki CVE ID’si (CVE-2025-53770 ve CVE-2025-53771) de belirledi.
Microsoft, SharePoint Subscription Edition, SharePoint 2019 ve SharePoint 2016 için acil güncellemeler yayınlayarak Remote Code Execution (RCE) açıklarını kapattı. Ancak bu açıkların yarattığı tehlikenin hâlâ devam ettiğini belirtmek önemlidir.
Yeni Tehdit: PoC Exploit’in Yayınlanması
Pazartesi günü, Microsoft’un etkilenen SharePoint sürümleri için güvenlik yamanmaları yayınlamasının ardından, CVE-2025-53770 için bir proof-of-concept (PoC) exploit GitHub’da yayımlandı. Bu durum, çeşitli tehdit aktörleri ve hacker gruplarının mevcut saldırılara katılmasını daha da kolaylaştırdı.
CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), CVE-2025-53770 açıklarını bilinen istismarlar listesine ekleyerek, federal ajansların bir gün içinde yamaları uygulamasını talep etti.
CISA’nın açıklamasına göre, “Bu istismar faaliyetleri, ‘ToolShell’ olarak kamuya duyurulmuştur ve sistemlere geçersiz kimlik doğrulaması ile erişim sağlamaktadır. Zararlı aktörlerin SharePoint içeriğine, dosya sistemlerine ve iç yapılandırmalara tam erişim sağlamasına ve ağ üzerinden kod çalıştırmasına olanak tanımaktadır.”
Öneriler ve Önlemler
Microsoft, duruma hızlı bir şekilde yanıt vererek, potansiyel olarak etkilenen kuruluşları bilgilendirmeye çalışıyor. Herhangi bir kurumsal kuruluşun SharePoint sunucularıyla ilgili hızlı bir şekilde harekete geçmesi büyük önem taşıyor. CISA, bu durumu “Tüm kuruluşların, on-premise Microsoft SharePoint sunucuları olanların hemen önerilen eylemleri almasını teşvik ediyoruz” şeklinde açıklıyor.
Kuruluşlar, sistem güvenliğini artırmak ve olası istismarları önlemek adına şunları yapmalıdırlar:
- Açıkları Yamanma: Microsoft’un yayınladığı güncellemeleri derhal uygulamak.
- Sistem Güvenliği: Antivirüs ve güvenlik yazılımlarının güncel tutulması.
- Eğitim ve Farkındalık: Çalışanların siber güvenlik konusunda eğitim almalarını sağlamak.
- Ağ İzleme: Ağ trafiğini düzenli olarak izlemek ve anormal aktiviteleri tespit etmek.
Siber Güvenlik Stratejileri ve Gelecek
Küresel ölçekte siber saldırıların artması, kuruluşların güvenlik stratejilerini gözden geçirmelerini zorunlu hale getiriyor. CISO’lar, siber güvenliklerinin iş değerini artırmak için kurumsal yönetimle güçlü bir bağ kurmalıdır. Ayrıca, güvenlik güncellemelerini doğru bir şekilde aktararak, yönetim kurulunda anlamlı tartışmalara zemin hazırlamalıdırlar.
Bu bağlamda, gelişmiş siber güvenlik çözümleri ve stratejileri, hem mevcut tehditlerin üstesinden gelmek hem de gelecekte oluşabilecek riskleri minimize etmek için kritik öneme sahiptir.
