Microsoft, SharePoint platformundaki kritik güvenlik açıklarının Çin merkezli hacker grupları tarafından fidye yazılımı yaymak amacıyla kullanıldığını duyurdu. Şirketin takip ettiği Storm-2603 adlı grubun bu açıkları istismar ettiği belirtiliyor.
SharePoint, Microsoft'un güvenli bir kurumsal düzeyde içerik yönetimi ve işbirliği platformu olarak tanımlanıyor. Ancak bu güvenceler, platformdaki çok sayıda açıktan yararlanan grupların raporlarıyla gölgelendi.
Microsoft, 19 Temmuz'da yaptığı açıklamada, Temmuz Ayı Güvenlik Güncellemesi ile kısmen giderilen açıkları hedef alan, şirket içi SharePoint Sunucusu müşterilerine yönelik aktif saldırıların farkında olduklarını bildirdi. Bu açıkları (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 ve CVE-2025-53771 gibi) gidermek için yayınlanan yamalardan kaçışlar da dahil olmak üzere, artık Warlock fidye yazılımını yaymak için kullanılıyor.
Şirketin tehdit istihbarat ekibi, 22 Temmuz'da internete açık SharePoint sunucularını hedef alan iki Çinli devlet destekli aktörün, Linen Typhoon ve Violet Typhoon'un bu açıkları istismar ettiğini gözlemlediğini açıkladı. Raporlarını 23 Temmuz'da güncelleyerek, Storm-2603 olarak takip edilen başka bir Çin merkezli tehdit aktörünün de bu açıkları kullanarak fidye yazılımı yaydığını gözlemlediklerini belirtti.
Microsoft, hacker gruplarına kökenlerine göre tanımlayıcılar atıyor. Bu durumda Çin için kullanılan "Typhoon" eki, faaliyetlerinin niteliğine göre "Flood" (etki operasyonları) veya "Tempest" (finansal amaçlı gruplar) gibi ekler de kullanılıyor. Gelişmekte olan gruplara ise "Storm" ön eki ve ardından bir sayısal sıra veriliyor; bu durumda da Storm-2603 kimliği ortaya çıkıyor.
Şirketin belirttiğine göre, "Microsoft'un Storm-2603 olarak takip ettiği grubun, orta düzeyde bir güvenilirlikle Çin merkezli bir tehdit aktörü olduğu değerlendiriliyor. Microsoft, Storm-2603 ile diğer bilinen Çin tehdit aktörleri arasında bağlantı kurmadı. Microsoft bu tehdit aktörünü, şirket içi SharePoint açıkları kullanılarak MachineKeys'in çalınması girişimleriyle ilişkilendiriyor. Bu tehdit aktörünün geçmişte Warlock ve Lockbit fidye yazılımlarını yaydığı gözlemlenmiş olsa da, Microsoft şu anda tehdit aktörünün hedeflerini güvenilir bir şekilde değerlendiremiyor. Microsoft, 18 Temmuz 2025'ten itibaren Storm-2603'ün bu açıkları kullanarak fidye yazılımı yaydığını gözlemledi."
Peki, SharePoint'e güvenen kuruluşlar, Storm-2603'ün kurbanları listesine katılma riskini nasıl azaltabilir? Ne yazık ki tek tıklamayla çözülebilecek bir durum söz konusu değil. Microsoft, platformun en son sürümünü kullandıklarından emin olmaları gerektiğini belirtse de, tavsiyeleri yalnızca birkaç güncelleme yüklemekle sınırlı kalmıyor. Zira bazı düzeltmelerin atlatıldığı da tespit edildi.
Microsoft, "Bu açığın kimliği doğrulanmamış saldırılar tarafından istismar edilmesini durdurmak için, müşterilerin Antimalware Scan Interface (AMSI) ve Microsoft Defender Antivirus'u (veya eşdeğer çözümleri) tüm şirket içi SharePoint dağıtımları için entegre etmesi ve etkinleştirmesi, ayrıca AMSI'yi Tam Mod'da çalışacak şekilde yapılandırması gerekiyor. Müşteriler ayrıca SharePoint sunucu ASP.NET makine anahtarlarını döndürmeli, Internet Information Services (IIS) hizmetini yeniden başlatmalı ve Microsoft Defender for Endpoint veya eşdeğer çözümleri dağıtmalıdır." açıklamasında bulundu.
Microsoft'un soruşturması devam ederken, Storm-2603, bu açıklardan etkilenen kuruluşlar ve daha fazlası hakkında daha fazla bilgi edinilmesi bekleniyor.
