CVE-2025-53770 Sıfır Gün Güvenlik Açığı
Microsoft SharePoint Server'daki ciddi bir güvenlik açığı, devam eden büyük ölçekli bir siber saldırı kampanyasının odak noktası haline geldi. 9,8 CVSS puanıyla CVE-2025-53770 olarak izlenen bu güvenlik açığı, sıfırıncı gün olarak sınıflandırılıyor ve Microsoft'un Temmuz 2025 Salı Yaması güncellemeleri sırasında ele alınan bir kod enjeksiyonu ve uzaktan kod yürütme hatası olan CVE-2025-49704 (CVSS 8.8) ile yakından ilişkili. Bu açık, güvenilmeyen verilerin seri hale getirilmesinden kaynaklanıyor ve bu da saldırganların kötü amaçlı kodları uzaktan ve uygun yetkilendirme olmadan yürütmesine olanak tanıyor.
İçindekiler
Aktif Saldırılar ve Etkilenen Sistemler
Araştırmacılar, siber suçluların bu güvenlik açığını şirket içi SharePoint Server örneklerine karşı aktif olarak kullandıklarını doğruladı. Daha da önemlisi, Microsoft 365'teki SharePoint Online bundan etkilenmedi. Saldırganlar, SharePoint'in seri hale getirme sırasında güvenilmeyen nesneleri nasıl işlediğini istismar ederek, kullanıcı kimlik doğrulamasından önce komut yürütme olanağı sağlıyor. Saldırganlar, sisteme girdikten sonra çalıntı makine anahtarlarını kullanarak sahte yükler oluşturabilir, bu da yanal hareket ve kalıcı erişime olanak tanır. Bu durum, etkinlikleri meşru SharePoint trafiğini taklit edebileceğinden, tespit ve azaltmayı zorlaştırır.
Karmaşık Saldırı Zincirleri
Kanıtlar, CVE-2025-53770'in, CVE-2025-49706 (CVSS puanı 6,3 olan bir kimlik sahtekarlığı hatası) ve CVE-2025-49704 gibi diğer kusurlarla birlikte ToolShell olarak bilinen gelişmiş bir istismar zinciri oluşturmak için kullanıldığını gösteriyor. Saldırganlar, CVE-2025-49704'ü istismar eden uzaktan kod yürütme yüklerini iletmek için CVE-2025-49706'dan yararlanıyor. HTTP referansı olarak '_layouts/SignOut.aspx' eklenmesinin, CVE-2025-49706'yı CVE-2025-53770'e dönüştürdüğü ve daha akıcı bir istismar süreci sağladığı bildiriliyor.
Saldırılar genellikle PowerShell üzerinden iletilen ASPX yüklerini içerir ve sunucunun MachineKey yapılandırmasını (ValidationKey ve DecryptionKey) çalmayı amaçlar. Bu anahtarlar kritik öneme sahiptir çünkü saldırganların SharePoint'in geçerli kabul edeceği kötü amaçlı __VIEWSTATE yükleri oluşturmalarına olanak tanır ve bu da kimliği doğrulanmış herhangi bir isteği uzaktan kod yürütme fırsatına dönüştürür.
Uzlaşmanın Ölçeği
Şimdiye kadar dünya çapında 85'ten fazla SharePoint sunucusu ele geçirildi ve bu durum, çok uluslu şirketler ve devlet kurumları da dahil olmak üzere en az 29 kuruluşu etkiledi. Saldırganlar kriptografik anahtarlara sahip olduktan sonra, düzeltme çok daha karmaşık hale geliyor. Bir güvenlik yaması uygulandıktan sonra bile, çalınan anahtarlar manuel olarak döndürülmediği veya yeniden yapılandırılmadığı sürece saldırganların erişimini sürdürmesine olanak tanıyabilir.
Azaltma Önlemleri
Microsoft, resmi bir yama yayınlanana kadar kuruluşlara SharePoint'te Antimalware Scan Interface (AMSI) entegrasyonunu etkinleştirmelerini tavsiye etti. AMSI'yi etkinleştiremeyen müşteriler için, güvenlik açığı bulunan SharePoint Sunucularının internet bağlantısının kesilmesi şiddetle tavsiye edildi.
Devam eden istismar raporlarının ardından Microsoft, hem CVE-2025-53770 hem de yeni keşfedilen bir kusur olan CVE-2025-53771 için savunmasız sistemleri korumak amacıyla yamalar yayınladı.
CISA’nın Uyarısı
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), CVE-2025-53770 güvenlik açığının aktif olarak kullanıldığını doğrulayan bir uyarı yayınladı. Bu güvenlik açığı, saldırganların ağ üzerinden kimliği doğrulanmamış uzaktan kod yürütmesine olanak tanıyarak, yama uygulanmamış tüm SharePoint ortamları için ciddi bir tehdit oluşturuyor.
