Warlock Ransomware ve Microsoft SharePoint Güvenlik Açıkları
Dijital dünyada siber güvenlik tehditleri her geçen gün daha ciddi bir hal alıyor. Özellikle büyük şirketlerin veri yönetim sistemleri olan Microsoft SharePoint üzerinde gerçekleştirilen saldırılar, kullanıcıların verilerini riske atıyor. Microsoft’un açıkladığına göre, son dönemde SharePoint güvenlik açıklarını kullanarak Warlock fidye yazılımını dağıtan siber saldırganların faaliyetleri gözlemlendi. Bu saldırıların arkasında Storm-2603 adlı bir grup olduğu belirtiliyor.
Saldırganların Yöntemleri
Microsoft’un yaptığı detaylı analizlere göre, bu grup, iki kritik güvenlik açığını hedef alıyor: CVE-2025-49706 (bir sahtecilik açığı) ve CVE-2025-49704 (uzaktan kod yürütme açığı). Bu açıklar, yamanmamış SharePoint sunucularını etkileyerek saldırganların spinstall0.aspx web shell yüklemesine olanak tanıyor. Saldırgan, bu ilk erişim sayesinde sistemde komutların yürütülmesini sağlıyor ve kullanıcının yetki seviyesini doğrulamak için “whoami” komutunu kullanıyor.
Saldırılar, cmd.exe ve batch scriptleri kullanılarak derinlemesine yapılmakta. Aynı zamanda, services.exe ile Microsoft Defender’ın korumalarını devre dışı bırakmak için Windows Kayıt Defteri’nde değişiklikler yapılıyor. Bu tür bir saldırı ile Warlock fidye yazılımının yayılması sağlanırken, sistem üzerinde kalıcı bir erişim elde ediliyor.
Hedef Belirleme ve Yetki İhlalleri
Storm-2603 siber saldırganları, hedef sistemlerde Mimikatz aracını kullanarak kimlik bilgilerini toplamakta. Bu, Local Security Authority Subsystem Service (LSASS) bellek hedeflenerek gerçekleştiriliyor. Ardından, PsExec ve Impacket araçlarıyla yan hareket (lateral movement) yaparak ağa sızılıyor. Ayrıca, Group Policy Objects (GPO) üzerine değişiklikler yapılarak Warlock yazılımını taahhüt eden bir dağıtım süreci başlatılıyor.
Önerilen Önlemler
Kullanıcıların bu tehditlerle başa çıkabilmeleri için Microsoft, aşağıdaki adımları önermektedir:
- On-premises Microsoft SharePoint Server sürümlerini güncelleyin.
- En son güvenlik güncellemelerini uygulayın.
- Antimalware Tarama Arayüzü’nün açık ve doğru şekilde yapılandırılmış olmasını sağlayın.
- Microsoft Defender for Endpoint ya da eşdeğer çözümleri kullanın.
- SharePoint Server ASP.NET makine anahtarlarını döndürün.
- IIS‘yi, iisreset.exe kullanarak tüm SharePoint sunucularında yeniden başlatın.
- Olay müdahale planını uygulayın.
Bu önlemler, kullanıcıların potansiyel saldırılara karşı etkin savunma mekanizmaları oluşturmasını sağlayacaktır.
Saldırıların Etkisi ve Sonuçları
Bu saldırılar, SharePoint güvenlik açıklarının kitlesel bir şekilde istismar edildiğini göstermektedir. Şu ana kadar en az 400 kurbanın olduğu bildirilmektedir. Ayrıca, Linen Typhoon (APT27) ve Violet Typhoon (APT31) olarak bilinen iki diğer Çinli hacker grubunun da bu kötü niyetli faaliyetlere karıştığı belirlenmiştir. Çin hükümeti, siber saldırılarla suçlanmalarını reddederek, bu konuda uluslararası iş birliğinin önemine vurgu yapmaktadır.
Siber Güvenliğin Önemi
Günümüzde, şirketlerin veri güvenliğini sağlamak her zamankinden daha kritik bir öneme sahiptir. Siber güvenlik tehditlerine karşı alınacak önlemler, şirketlerin sadece verilerini değil, aynı zamanda itibarlarını da korumasına yardımcı olur. Bu bağlamda, kullanıcıların aktif bir şekilde güncellemeleri takip etmesi ve siber güvenlik eğitimleri alması büyük bir önem taşır. Ayrıca, şirketlerin sadece teknik önlemler almakla kalmayıp, siber güvenlik kültürünü kurum genelinde yaymaları gerekmektedir.
Yalnızca yazılımsal önlemlerle sorunun üstesinden gelinemez. Tüm çalışanların siber güvenlik konularında bilinçlendirilmesi, olası bir saldırıya karşı hızlı ve etkili bir yanıt verilmesine yardımcı olur. Bu nedenle, hem bireylerin hem de kuruluşların siber güvenliğe gereken önemi vermesi kaçınılmazdır.
Sonuç itibarıyla, Microsoft SharePoint ve benzeri sistemlerin güvenlik açıkları, modern siber tehditlerin nasıl evrildiğini göstermektedir. Kullanıcıların ve organizasyonların, bu tür tehditlerle mücadele etmek için bilgilendirilmiş ve hazırlıklı olmaları büyük önem arz etmektedir. Tüm bu süreçte bilgi paylaşımı ve işbirliği, siber güvenliğin güçlenmesine önemli katkılarda bulunacaktır.
