Microsoft (MSFT), yerinde SharePoint sunucularına yönelik devam eden saldırılarla ilgili kritik bir uyarı yayınladı ve kuruluşları yeni güvenlik güncellemelerini hemen uygulamaya çağırdı.
Microsoft Güvenlik Yanıt Merkezi tarafından 19 Temmuz’da yayınlanan uyarı, devlet bağlantılı tehdit aktörlerinin iki önemli açığı aktif olarak istismar ettiğini vurguluyor: Bir kimlik sahtekarlığı açığı ve bir uzaktan kod yürütme açığı.
Bu açıklar, Microsoft 365’te barındırılan SharePoint Online’ı etkilemiyor.
Yeni güncellemeler, Abonelik Sürümü, 2019 ve 2016 dahil olmak üzere desteklenen SharePoint Server sürümlerini kapsıyor.
Microsoft, yamaların ayrıca CVE-2025-53770 ve bir bypass açığı olan CVE-2025-53771 gibi ek ilgili açıkları da ele aldığını, böylece daha kapsamlı bir güvenlik düzeltmesi sağladığını vurguladı.
Microsoft, istismar kampanyalarını Çin merkezli üç tehdit aktörüne atfetti: Linen Typhoon, Violet Typhoon ve Storm-2603.
Şirkete göre, bu gruplar en az 7 Temmuz’dan beri internete açık SharePoint sunucularını aktif olarak hedefliyor.
Gözlemlenen saldırılar, tehdit aktörlerinin kötü amaçlı ASP.NET komut dosyalarını (genellikle “spinstall0.aspx” varyasyonları olarak adlandırılır) yüklemesine olanak tanıyan, özel olarak hazırlanmış bir POST isteğinin SharePoint sunucusunun ToolPane uç noktasına gönderilmesini içeriyor.
Bu komut dosyaları, GET istekleri aracılığıyla MachineKey verilerinin çıkarılmasını sağlayarak hedef sistemlerin daha derin bir şekilde tehlikeye atılmasını destekliyor. Microsoft, savunucuların bu tür faaliyetleri belirlemesine yardımcı olmak için tehdit avlama sorguları ve tehlike göstergeleri yayınladı.
2012’den beri aktif olan Linen Typhoon, daha önce fikri mülkiyet hırsızlığı için hükümet ve savunma sektörlerini hedef almıştı. 2015’ten beri aktif olan Violet Typhoon, STK’lar, medya ve eğitim kurumlarını içeren casusluk faaliyetlerine odaklanıyor. Ayrı bir Çinli aktör olan Storm-2603 ise daha önce fidye yazılımı dağıtımıyla ilişkilendirilmişti, ancak mevcut motivasyonları belirsizliğini koruyor.
Microsoft durumu izlemeye devam ediyor ve yöneticileri hızlı yanıt vermeye çağırıyor. Şirket, yama uygulamasının gecikmesinin sistemleri genişleyen kampanyalara karşı savunmasız bırakabileceği konusunda uyarıyor.
Reuters’ın gördüğü bir zaman çizelgesine göre, Microsoft’un bu ay yayınladığı bir güvenlik güncellemesi, SharePoint sunucu yazılımındaki ciddi bir açığı tamamen düzeltmedi. Bu durum, sistemleri büyük bir küresel siber casusluk kampanyasına karşı savunmasız bıraktı.
Salı günü bir Microsoft sözcüsü, mayıs ayında bir hacker yarışması sırasında keşfedilen bir açığa dayanan orijinal yamanın etkisiz olduğunu kabul etti.
Ancak şirket, o zamandan beri sorunu tam olarak ele alan ek güncellemeler yayınladığını söyledi.
Yaklaşık 100 kuruluşu etkileyen casusluğu kimin gerçekleştirdiği hâlâ bilinmiyor.
Saldırıda kullanılan güvenlik açığı, ilk olarak mayıs ayında Berlin’de siber güvenlik şirketi Trend Micro tarafından düzenlenen bir hacking yarışmasında keşfedildi. Etkinlik, yaygın olarak kullanılan yazılımlardaki hataları bulmak için nakit ödüller sunuyordu.
Yarışmada, Vietnam ordusuna ait bir telekom şirketi olan Viettel’den bir araştırmacı, Microsoft SharePoint’te bir hata buldu. Buna “ToolShell” adını verdi ve bir saldırı başlatmak için nasıl kullanılabileceğini gösterdi.
MSFT hisseleri, çarşamba günü son kontrolde 0,64% düşüşle 502,05 dolar seviyesinde işlem görüyor.
Burada yer alan bilgiler yatırım tavsiyesi içermez. Bilgi için: Midas Sorumluluk Beyanı
Bu içerik hazırlanırken faydalanılan kaynak: Benzinga
Görsel kaynak: Shutterstock
