Merhaba
ABD federal hükümeti ve siber güvenlik araştırmacıları, Microsoft’un SharePoint platformunda yeni keşfedilen bir güvenlik açığının saldırı altında olduğunu söylüyor.
ABD siber güvenlik kurumu CISA, bu hafta sonu bir uyarı yayınlayarak hackerların söz konusu güvenlik açığını aktif olarak istismar ettiğini duyurdu. Microsoft, etkilenen tüm SharePoint sürümleri için henüz yamalar sağlamadığı için, dünya genelindeki müşteriler büyük ölçüde devam eden saldırılara karşı savunmasız durumda.
Microsoft, resmî olarak CVE-2025-53770 olarak adlandırılan bu güvenlik açığının, şirketlerin kendi sunucularında kurup yönettikleri SharePoint sürümlerini etkilediğini açıkladı.
SharePoint, şirketlerin iç dosyalarını depolamasına, paylaşmasına ve yönetmesine olanak tanıyan bir platformdur.
Microsoft, hackerların bu güvenlik açığından faydalanmasını önlemek için güvenlik yamaları üzerinde çalıştığını açıkladı. zero-day olarak tanımlanan bu zafiyet, Microsoft’un açığı öğrenmeden önce herhangi bir yama geliştirme süresi olmadan ifşa edildiği anlamına geliyor. Açık, SharePoint Server 2016 kadar eski sürümleri de etkilemektedir.
Şu ana kadar kaç sunucunun ele geçirildiği henüz bilinmiyor, ancak bu yazılıma güvenen binlerce küçük ve orta ölçekli işletmenin etkilenmiş olma ihtimali yüksek.
The Washington Post’a göre, saldırılar sırasında birkaç ABD federal kurumu, üniversiteler ve enerji şirketleri de çoktan ihlal edildi.
Eye Security, Cumartesi günü bu güvenlik açığını ilk kez ortaya çıkardığında, çevrim içi ortamda aktif olarak istismar edilen onlarca Microsoft SharePoint sunucusu tespit ettiklerini bildirdi. Bu açık istismar edildiğinde, hacker’lar herhangi bir oturum açma bilgisine ihtiyaç duymadan SharePoint sunucularından özel dijital anahtarları çalabiliyor. Sunucuya erişim sağladıktan sonra, saldırganlar uzaktan kötü amaçlı yazılım (malware) yerleştirebilir ve sunucuda depolanan dosya ve verilere erişim sağlayabilir.
Eye Security ayrıca SharePoint’in Outlook, Teams ve OneDrive gibi diğer uygulamalarla bağlantılı olduğuna dikkat çekerek, bu durumun ağda daha geniş çaplı güvenlik ihlallerine ve veri hırsızlıklarına yol açabileceği uyarısında bulundu.
Eye Security, bu güvenlik açığının sunucudaki meşru istekleri taklit etmek için kullanılabilecek dijital anahtarların çalınmasını içerdiğini belirtti. Bu nedenle, etkilenen müşterilerin yalnızca güvenlik açığını yamalamaları yeterli değildir; aynı zamanda sunucunun yeniden ele geçirilmesini önlemek için dijital anahtarlarını döndürmeleri (rotate etmeleri) gibi ek adımlar da atmaları gerekmektedir.
CISA ve diğerleri, müşterilere “derhal önerilen önlemleri almaları” çağrısında bulundu.
Yama veya hafifletici önlemler bulunmadığı durumlarda, müşterilerin potansiyel olarak etkilenmiş sistemleri internetten ayırmayı düşünmeleri gerektiği belirtildi.
“Eğer SharePoint’iniz [on-premise] olarak internete açık durumdaysa, şu noktada sisteminizin ele geçirilmiş olduğunu varsaymalısınız,” dedi
Palo Alto Networks’ün tehdit istihbarat birimi Unit 42’nin başkanı Michael Sikorski
SharePoint sunucularına yönelik saldırıları kimin gerçekleştirdiği henüz bilinmiyor, ancak bu olay, son yıllarda Microsoft müşterilerini hedef alan bir dizi siber saldırının en sonuncusu.
2021 yılında, Çin destekli “Hafnium” adlı bir hacker grubu, kendi sunucularında barındırılan Microsoft Exchange e-posta sunucularında bulunan bir güvenlik açığını istismar ederken yakalandı. Bu açık sayesinde, dünya çapındaki şirketlerin e-postalarına ve kişi verilerine yönelik kitlesel sızma ve veri dışa aktarma (exfiltration) gerçekleştirildi.
ABD Adalet Bakanlığı tarafından hazırlanan son iddianameye göre, bu saldırılar kapsamında 60.000’den fazla sunucu ele geçirildi ve bu operasyonun arkasında olduğu iddia edilen iki Çin vatandaşı suçlandı.
İki yıl sonra, Microsoft doğrudan yönettiği bulut sistemlerine yönelik bir siber saldırıyı doğruladı. Bu saldırı sonucunda, Çinli hackerlar, şirket tarafından barındırılan hem bireysel hem de kurumsal e-posta hesaplarına erişim sağlayan hassas bir e-posta imzalama anahtarını ele geçirdi.
Evet, haberin güncellenmiş sürümüne göre:
- Güvenlik açığına ait doğru CVE numarası:
CVE-2025-53770
(Önceki sürümde yanlış bir CVE numarası verilmişti, bu düzeltildi.) - Eğer saldırı hakkında daha fazla bilgi almak veya etkilenip etkilenmediğini paylaşmak istersen, bu haberin yazarı Zack Whittaker ile doğrudan ve güvenli bir şekilde iletişime geçebilirsin: Signal üzerinden şifreli mesajla:
zackwhittaker.1337