Microsoft SharePoint’taki Sıfır Gün Açığı: CVE-2025-53770
Microsoft SharePoint, iş dünyasında yaygın olarak kullanılan bir platformdur. Ancak, bu platformda önemli bir sıfır gün açığı keşfedilmiştir. CVE-2025-53770 olarak takip edilen bu açık, 18 Temmuz 2025’ten itibaren aktif olarak istismar edilmektedir. Ancak, henüz bir yamanın mevcut olmaması, bu durumu daha da endişe verici hale getiriyor. Şu ana kadar dünya genelinde en az 85 sunucunun bu açık nedeniyle kompromiye edildiği bildirilmiştir.
Microsoft’un Açıklamaları ve Tehditlerin Kaynağı
Viettel Siber Güvenlik araştırmacıları, ToolShell adı verilen bir saldırı aracılığıyla iki Microsoft SharePoint açığını birleştirerek uzaktan kod çalıştırma (RCE) gerçekleştirdiler. Microsoft, Temmuz ayındaki yamalarda bu açıklara karşı önlem aldığını belirtmişti. Ancak, CVE-2025-49706 açığının bir varyantı olan CVE-2025-53770, hala saldırganlar tarafından istismar edilmektedir. Microsoft, yerel SharePoint Server müşterilerine yönelik aktif saldırılar olduğunun farkında olduğunun altını çizmektedir.
Microsoft, bu açığın Microsoft 365 üzerinde bir etkisi olmadığını ve güvenlik güncellemesinin yakın bir zamanda yayınlanacağını belirtmektedir. Açığın etkilerini azaltmak adına, kullanıcıların SharePoint üzerinde AMSI entegrasyonunu etkinleştirmeleri ve tüm SharePoint sunucularında Defender AV dağıtmaları önerilmektedir.
AMSI ve Güvenlik Önerileri
Microsoft AMSI (Antimalware Scan Interface), uygulamaların kötü niyetli içerikleri gerçek zamanlı olarak bir antivirüs çözümüne geçirmelerine olanak tanıyan bir güvenlik özelliğidir. Bu özellik, bellek içindeki script ve kodları denetlemek için yaygın olarak kullanılmakta olup, obfuscate ya da dinamik tehditlerin tespitinde etkili bir yöntemdir. Microsoft, bu güvenlik önlemlerinin etkinleştirilmesinin, kimlik doğrulaması yapılmamış saldırıların açığı istismar etmesini önleyeceğini belirtmektedir.
Eğer AMSI etkinleştirilemiyorsa, Microsoft, SharePoint sunucularının internetten değiştirilmesini ve beklemekten başka bir çözüm önerisi sunmamaktadır.
Tehditlerin Keşfi ve İzleme Yöntemleri
Eğer bir SharePoint sunucusunun kompromize olup olmadığını kontrol etmek isterseniz, yöneticilerin aşağıdaki dosyanın var olup olmadığını kontrol etmeleri gerekmektedir: C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspx. Microsoft, bu dosyanın varlığını denetlemek için kullanılabilecek bazı query’ler sunmuştur.
Bu durumun yanı sıra, Eye Security adlı Hollandalı siber güvenlik firması, bu sıfır gün açığı nedeniyle saldırıya uğrayan 29 organizasyonu tespit ettiğini bildirmiştir. 18 Temmuz’dan itibaren izlenemeyen aktiviteler sonucunda, bu zararlı aktivitelerin varlığına dair loglar tespit edilmiştir. Saldırganlar, zararlı bir aspx dosyasını yükleyerek Microsoft SharePoint sunucusunun MachineKey yapılandırmasını çalmaktadır.
Potansiyel Tehditlerin Ani Artışı
Kaydedilen saldırılarda, saldırganlar genellikle “spinstall0.aspx” adlı zararlı bir dosya yüklemektedir. Bu dosya, ValidationKey ve DecryptionKey de dahil olmak üzere kritik bilgileri çalmaktadır. Geliştirilen sonraki teknik ve istihbarat bilgilere göre, paylaşım sunucuları üzerindeki bu güvenlik açığı, uzaktan kod çalıştırmak için kullanılmakta ve bu durum, birçok uluslararası şirkete zarar vermekte tehdit oluşturuyor.
ViewState, ASP.NET tarafından kullanılan ve SharePoint’i destekleyen bir bileşendir. Eğer yeterince korunmuyorsa veya sunucunun ValidationKey’i açığa çıkarsa, ViewState manipüle edilebilir ve sunucu üzerinde zararlı kod çalıştırmaya neden olabilir.
Eye Security, dünya genelinde etkilenen 29 organizasyondan bahsederken, bazı organizasyonların çok uluslu şirketler ve devlet kurumları olduğunu belirtmektedir. Güvenlik uzmanları, mevcut firewall sistemlerinin bazı payload’ları engellediğini ancak saldırganların imzayı aşmaları durumunda daha fazla SharePoint sunucusunun etkilenebileceği konusunda uyarıda bulunmaktadır.
Gelecek Olası Gelişmeler
Bu olaylar, hem siber güvenlik uzmanlarını hem de kuruluşları büyük bir endişeye sevk etmektedir. SharePoint sunucuları için alınacak önlemler ve güncellemeler son derece kritik hale gelmiştir. Bu açıktan etkilenen kullanıcıların, sunucularını çevrimdışına alarak kendilerini korumaları ve yeni güvenlik güncellemeleri yayınlanmadan önce herhangi bir tehditten uzak durmaları önemlidir. Durum, güncellendikçe izlenmeye devam edecek ve yeni bilgiler sağlanacaktır.
