Yetkililer ve araştırmacılar, Microsoft SharePoint Server'daki yüksek riskli bir güvenlik açığının aktif olarak istismar edildiği konusunda uyarıyor. Bu açık, saldırganların kimlik doğrulama belirteçleri de dahil olmak üzere hassas şirket verilerini ele geçirmesine olanak tanıyor. Araştırmacılara göre, şirket içi (on-premises) SharePoint kullanan tüm ağların ele geçirilmiş olabileceği varsayılıyor.
CVE-2025-53770 olarak izlenen bu güvenlik açığı, 10 üzerinden 9.8 gibi yüksek bir ciddiyet derecesine sahip. İnternete açık olan SharePoint Sunucularına kimlik doğrulaması gerektirmeden uzaktan erişim imkanı sağlıyor. Araştırmacılar, Cuma gününden itibaren bu açığın aktif olarak istismar edildiği konusunda uyarılar yapmaya başladı. Bu durum, şirketlerin kendi bünyelerinde çalıştırdığı SharePoint Sunucularını etkiliyor. Microsoft'un bulut tabanlı SharePoint Online ve Microsoft 365 hizmetleri ise bu açıktan etkilenmiyor.
Sıradan Bir Webshell Değil
Microsoft, Cumartesi günü bu sıfır gün (zero-day) açığının neden olduğu saldırıları doğruladı. Bir gün sonra şirket, SharePoint Subscription Edition ve SharePoint 2019 sürümlerinde bu kritik açığı ve ilişkili CVE-2025-53771 numaralı açığı kapatan acil durum güncellemesini yayınladı. Bu sürümleri kullanan müşterilerin güncellemeleri derhal yüklemesi gerekiyor. Bu haberin yazıldığı sırada SharePoint 2016 sürümü için henüz bir yama yayınlanmamıştı. Microsoft, bu sürümü kullananların Antimalware Scan Interface'i (Kötü Amaçlı Yazılım Tarama Arayüzü) yüklemesi gerektiğini belirtti.
Gözlemlenen istismar zincirleri, Mayıs ayında Berlin'deki Pwn2Own hack yarışmasında gösterilen iki farklı güvenlik açığına ait istismar zincirleriyle yakından ilişkili. CVE-2025-49704 ve CVE-2025-49706 olarak izlenen bu açıklar, Microsoft'un aylık güncelleme sürümünde iki hafta önce kısmen yamalanmıştı. CVE-2025-53770 ve CVE-2025-53771 için bu hafta yayınlanan yamalar, sırasıyla CVE-2025-49704 ve CVE-2025-49706 için daha sağlam korumalar içeriyor.
Güncellemeleri yüklemek, kurtarma sürecinin yalnızca başlangıcıdır. Çünkü bu enfeksiyonlar, saldırganların geniş erişim sağlayan kimlik bilgilerini çalmalarına ve şirket ağı içindeki hassas kaynaklara ulaşmalarına olanak tanıyor. Bu ek adımlar hakkında daha fazla bilgi bu makalenin ilerleyen bölümlerinde yer alacak.
Cumartesi günü güvenlik firması Eye Security'den araştırmacılar, 18 Temmuz'da yaklaşık 18:00 UTC ve 19 Temmuz'da yaklaşık 07:30 UTC saatlerinde gerçekleşen iki saldırı dalgasında aktif olarak ele geçirilmiş düzinelerce sistem bulduklarını bildirdi. Küresel çapta yayılmış bu sistemler, söz konusu güvenlik açığı kullanılarak hacklenmiş ve ardından ToolShell adlı bir webshell tabanlı arka kapı (backdoor) ile enfekte edilmiş. Eye Security araştırmacıları, bu arka kapının bir SharePoint Sunucusunun en hassas bölümlerine erişebildiğini ve buradan kimlik doğrulama belirteçlerini çıkararak saldırganların ağ içindeki faaliyetlerini genişletmelerine olanak tanıdığını belirtti.
Eye Security araştırmacıları, "Bu sıradan bir webshell değildi" diyerek eklediler. "Etkileşimli komutlar, ters shell'ler veya komuta-kontrol mantığı yoktu. Bunun yerine, sayfa SharePoint sunucusunun MachineKey yapılandırmasını, özellikle de ValidationKey'i okumak için dahili .NET yöntemlerini çağırdı. Bu anahtarlar, geçerli __VIEWSTATE yüklerinin oluşturulması için gereklidir ve bunlara erişim, herhangi bir kimlik doğrulanmış SharePoint isteğini uzaktan kod yürütme fırsatına dönüştürür."
Uzaktan kod yürütme, SharePoint'in veri yapılarını ve nesne durumlarını depolanabilen veya iletilebilen ve daha sonra yeniden oluşturulabilen formatlara dönüştürme şeklini hedef alarak mümkün hale geliyor. Bu işlem, seri hale getirme (serialization) olarak biliniyor. Microsoft'un 2021'de düzelttiği bir SharePoint güvenlik açığı, ayrıştırma mantığını kötüye kullanarak sayfalara nesneler enjekte etmeyi mümkün kılmıştı. Bu durum, SharePoint'in ASP.NET ViewState nesnelerini makinenin yapılandırmasında saklanan ValidationKey imzalama anahtarını kullanarak çalıştırmasından kaynaklanıyordu. Bu, saldırganların SharePoint'i rastgele nesneleri seri hale getirmesine ve gömülü komutları çalıştırmasına neden olabilirdi. Ancak bu istismarlar, sunucunun gizli ValidationKey'ine erişim gerektiren geçerli bir imza oluşturma zorunluluğu ile sınırlıydı.
Yamalamak Sadece Bir Başlangıç
Saldırganlar, SharePoint ASP.NET makine anahtarlarını çalma yeteneğini kullanarak, daha sonra ek altyapı saldırıları düzenleyebiliyor. Bu da, yalnızca yamalama yapmanın, saldırganların ele geçirilmiş bir sistemden çıkarıldığını garanti etmediği anlamına geliyor. Etkilenen kuruluşların, SharePoint ASP.NET makine anahtarlarını döndürmesi ve üzerinde çalışan IIS web sunucusunu yeniden başlatması gerekiyor.
Washington Post'a göre, en az iki federal kurum, kendi ağlarındaki sunucuların devam eden saldırılarda ele geçirildiğini tespit etti.
Eye Security'nin gönderisi, yöneticilerin sistemlerinin saldırılarda hedef alınıp alınmadığını belirlemek için kullanabileceği teknik göstergeler sağlıyor. Ayrıca, savunmasız kuruluşların sistemlerini bu aktivitelere karşı daha dayanıklı hale getirmek için atabileceği çeşitli önlemler sunuyor.
Pazar günü yayınlanan bir duyuruda, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), saldırıları ve ToolShell kullanımını doğruladı. Duyuruda ayrıca kendi güvenlik önlemleri listesini de paylaştı.
