Microsoft SharePoint Güvenlik Açığı: Kritik Tehditler ve Alınacak Önlemler
Son dönemde, Microsoft SharePoint Server‘da tespit edilen kritik bir güvenlik açığı, dünya genelinde büyük bir tehdit oluşturuyor. Bu zero-day (sıfırıncı gün) açığı, CVE-2025-53770 olarak adlandırılmakta ve CVSS skoru 9.8 olarak değerlendirilmiştir. Açığın, daha önceki bir açık olan CVE-2025-49706’nın bir varyantı olduğu ifade edilmektedir. Bu durum, kullanıcıların güvenliğini ciddi şekilde tehdit eden bir durum yaratmaktadır.
Açığın Özellikleri ve Etkileri
Microsoft’un açıkladığı üzere, bu güvenlik açığı, Microsoft SharePoint Server‘da “güvenilmez verilerin serileştirilmesi” yoluyla yetkisiz saldırganların ağ üzerinden kod çalıştırmasına olanak tanımaktadır. Bu durum, özellikle yerel SharePoint sunucularında aktif saldırılara yol açmaktadır. Microsoft, bu açığı tespit eden ve Trend Micro’nun Zero Day Initiative (ZDI) programı aracılığıyla bildiren Viettel Siber Güvenlik ekibine teşekkür etmiştir.
Buna ek olarak, Microsoft 365 içindeki SharePoint Online platformunun bu açığından etkilenmediği belirtilmiştir, fakat on-premises SharePoint kullanıcılardan tetikte olmaları istenmiştir.
Önerilen Güvenlik Önlemleri
Bu güvenlik açığı için henüz resmi bir yamanın yokluğu, kullanıcıları çeşitli önlemler almaya yönlendirmiştir. Microsoft, kullanıcıların Antimalware Scan Interface (AMSI) entegrasyonunu SharePoint’te yapılandırmalarını ve tüm SharePoint sunucularında Defender AV kullanmalarını önermiştir. AMSI entegrasyonu, Eylül 2023 güvenlik güncellemesi ile SharePoint Server 2016/2019’da varsayılan olarak etkin hale gelmiştir.
Eğer kullanıcılar, AMSI’yi etkinleştiremiyorlarsa, SharePoint Server’ı internetten ayırmaları şiddetle tavsiye edilmektedir. Ek bir koruma tedbiri olarak, Defender for Endpoint kullanarak, exploit sonrası aktiviteleri tespit etmek ve engellemek önemlidir.
Aktif Saldırılar ve Raporlar
Son günlerde Eye Security ve Palo Alto Networks Unit 42 tarafından yapılan uyarılarda, CVE-2025-49706 ve CVE-2025-49704 gibi açıkların istismar edildiği belirtilmiştir. Bu açıklar, SharePoint üzerinde keyfi komut icrası sağlamak amacıyla kullanılmaktadır. İlgili exploit zinciri, ToolShell adı altında anılmaktadır.
CVE-2025-53770’nın CVE-2025-49706’nın bir varyantı olması, bu saldırıların bağlantılı olduğuna dair şüpheleri artırmaktadır. Saldırganlar, PowerShell aracılığıyla ASPX yükleri taşıyarak, SharePoint sunucusunun MachineKey konfigürasyonuna erişim sağlamaktadırlar. Bu erişim, ValidationKey ve DecryptionKey bilgilerini çalarak sürekli bir erişim noktası oluşturur.
Etki Alanı ve Kullanıcı Uyarıları
Eye Security‘nin CTO’su Piet Kerkhofs’ın yaptığı açıklamalara göre, saldırılar hızla yayılmakta ve bu durum çok sayıda kurumu etkileyebilmektedir. Yaklaşık 75 kuruluşun ihlal edildiği ve bu kuruluşlar arasında büyük şirketler ve hükümet organlarının bulunduğu belirtilmiştir.
Microsoft, CVE-2025-49706 ve CVE-2025-49704 için aktif istismar durumu üzerine güncellemeler yapmamıştır. Bu, kullanıcılar için ek bir risk faktörü oluşturmaktadır. Microsoft’tan daha fazla detay almak amacıyla iletişime geçildiği, ancak henüz bir geri dönüş alınamadığı bilgisi de verilmektedir.
Siber Güvenlikte Alınacak Ek Önlemler
Bu tür açıkların istismarı söz konusu olduğunda, kullanıcıların dikkatli olması ve gerekli önlemleri alması şarttır. Yüksek risk faktörleri taşıyan sistemlerin ve yazılımların güncel tutulması, siber saldırılara karşı ilk savunma hattını oluşturur. Ayrıca, eğitim programları ve güvenlik bilinci oluşturmak, çalışanların tehditlere karşı daha hazırlıklı olmasına yardımcı olacaktır.
Kullanıcıların, SharePoint gibi kritik sistemleri güvende tutmalarının yolu, proaktif tedbirler almak ve bunları sürekli gözden geçirmektir. Saldırganların taktikleri sürekli değişirken, güvenlik stratejilerinin de dinamik bir şekilde güncellenmesi gerekebilir.
