Microsoft SharePoint Güvenlik Açıkları ve Acil Güncellemeler
Microsoft, dünya genelinde “ToolShell” saldırılarıyla kompromiye olan hizmetler için, CVE-2025-53770 ve CVE-2025-53771 olarak izlenen iki sıfır gün açığına yönelik acil güvenlik güncellemeleri yayımladı. Bu açıklar, SharePoint sunucularını etkileyerek, 54’ten fazla organizasyonu olumsuz etkiledi.
ToolShell Saldırıları Nedir?
Mayıs ayında Berlin’deki Pwn2Own hacker yarışmasında araştırmacılar, Microsoft SharePoint’te uzaktan kod çalıştırmaya olanak tanıyan ToolShell adı verilen bir sıfır gün açığı zincirini istismar ettiler. Bu tür saldırılar, SharePoint uygulamalarının güvenliğini ciddi şekilde tehdit ederken, organizasyonların verilerini zafiyete uğratmakta. Microsoft, Temmuz ayındaki Patch Tuesday güncellemeleri kapsamında daha önceki açıkları kapatmış olsa da, siber saldırganlar yeni sıfır gün açıklarını keşfetmeyi başardı.
Acil Güncellemelerin Yayınlanması
Microsoft, SharePoint Subscription Edition ve SharePoint 2019 için CVE-2025-53770 ve CVE-2025-53771 açıklarını düzeltmek üzere acil güncellemeler yayımladı. Microsoft, SharePoint 2016 için güncellemenin henüz mevcut olmadığını belirtiyor. Bu güncellemeleri hızlı bir şekilde alacak olan SharePoint yöneticileri, gereken güncellemeleri hemen yüklemelidir:
- KB5002754 güncellemesi, Microsoft SharePoint Server 2019 için.
- KB5002768 güncellemesi, Microsoft SharePoint Subscription Edition için.
- SharePoint Enterprise Server 2016 güncellemesi henüz yayımlanmamıştır.
Makine Anahtarlarının Rotasyonu
Güncellemelerin yüklenmesinin ardından, Microsoft, SharePoint makine anahtarlarının rotasyonunun yapılmasını öneriyor. Bu işlem, iki yöntemle gerçekleştirilebilir:
PowerShell ile Manuel: Makine anahtarlarını güncellemek için
Update-SPMachineKeykomutunu kullanabilirsiniz.Merkezi Yönetim ile Manuel: Makine Anahtarı Rotasyon zamanlayıcısını başlatmak için aşağıdaki adımları izleyin:
- Merkezi Yönetim sitesine gidin.
- İzleme sekmesine tıklayın ve ‘İş Tanımını Gözden Geçirin’ seçeneğini seçin.
- “Makine Anahtarı Rotasyon Görevi”ni arayın ve “Şimdi Çalıştır” seçeneğini seçin.
- Rotasyon tamamlandığında, tüm SharePoint sunucularında
iisreset.exekomutuyla IIS’i yeniden başlatın.
Kötü Amaçlı Dosyaların Kontrolü
Microsoft ayrıca, kötü amaçlı dosya veya istismar girişimlerini tespit etmek için günlüklerinizi ve dosya sisteminizi analiz etmenizi tavsiye ediyor. Özel olarak dikkat edilmesi gereken durumlar arasında:
C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspxdosyasının oluşturulması.- IIS günlüklerinde
/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspxPOST isteği ve/_layouts/SignOut.aspxHTTP referansı gösteren bir kayıt bulunması.
Microsoft, sunucunuzda spinstall0.aspx dosyasının oluşturulup oluşturulmadığını kontrol etmek üzere aşağıdaki Microsoft 365 Defender sorgusunu paylaşmaktadır:
plaintext
DeviceFileEvents
| where FolderPath has “MICROS~1WEBSER~116TEMPLATELAYOUTS”
| where FileName =~ “spinstall0.aspx” or FileName has “spinstall0”
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Eğer dosya mevcutsa, ihlal edilmiş sunucuda ve ağda zararlı yazılımcıların başka cihazlara yayılmadığını garantilemek amacıyla kapsamlı bir inceleme yapılmalıdır.
Sonuç ve Uyarılar
SharePoint kullanıcıları ve yöneticileri için bu güncellemelerin zamanında uygulanması, güvenlik zafiyetlerinin etkisini azaltmak açısından kritik bir önem taşımaktadır. Yeni sıfır gün açıklarının keşfi, organizasyonların detaylı bir güvenlik analizi yapmasını ve sisteme yönelik alınacak önlemleri güncellemelerini gerektiriyor. Siber saldırılara karşı hazırlıklı olmak, teknik güncellemeleri takip etmek ve sürekli olarak sistemleri izlemek, gelecekte benzer zafiyetlerden minimum düzeyde etkilenmeyi sağlayacaktır.
