Microsoft’tan Kritik SharePoint Uyarısı: Çinli Hackerlar Küresel Saldırı Düzenliyor!
Microsoft, kurumsal dünyada yaygın olarak kullanılan iş birliği platformu SharePoint Server‘da bulunan kritik bir sıfır gün (zero-day) güvenlik açığının, Çin devlet destekli hacker grupları tarafından küresel bir siber saldırı kampanyasında aktif olarak kullanıldığını doğruladı. Salı günü yayınlanan bir blog yazısında şirket, Linen Typhoon ve Violent Typhoon olarak bilinen iki Çin hükümeti destekli grubu, bu zafiyeti kullanarak hükümet kurumlarını, işletmeleri ve hassas altyapıları hedef almakla suçladı.
Bu gelişme, geçtiğimiz hafta sonu başlayan ve yüzlerce kurumu etkilediği düşünülen siber saldırıların arkasındaki aktörleri netleştirirken, tehdidin boyutunu da gözler önüne seriyor.
Saldırının Detayları: Kimler, Ne Zaman ve Nasıl Saldırıyor?
Microsoft’un Tehdit İstihbaratı ekibine göre, saldırı zinciri birkaç haftadır devam ediyor.
- İlk Saldırılar: Analizlere göre, saldırganlar 7 Temmuz gibi erken bir tarihte, o dönemde henüz yaması çıkmamış olan ilk SharePoint açıklarını (CVE-2025-49706 ve CVE-2025-49704) istismar etmeye başladılar.
- Sıfır Gün İstismarı: Microsoft’un bu ilk açıkları yamalamasının ardından, hackerlar bu yamaları atlatan yeni sıfır gün zafiyetlerini (CVE-2025-53770 ve CVE-2025-53771) kullanarak saldırılarına devam ettiler.
- Saldırganlar: Microsoft, saldırıların arkasında iki bilinen Çin devlet destekli grup olan Linen Typhoon ve Violent Typhoon ile birlikte, yine Çin merkezli olduğu düşünülen ve Storm-2603 olarak takip edilen üçüncü bir grubun da olduğunu belirtti.
- Amaç: Saldırganlar, bu açıkları kullanarak kimlik doğrulamasını atlıyor, kullanıcı kimliklerine bürünüyor ve sunucularda tam kontrol sağlayarak hassas verileri sızdırıyor, kalıcı arka kapılar (backdoors) bırakıyor ve şifreleme anahtarlarını çalıyorlar.
Çin’den Yalanlama Geldi
Beklendiği gibi, Çin Büyükelçiliği bu suçlamalara hızla yanıt verdi ve herhangi bir dahiliyetleri olduğunu kesin bir dille reddetti. Yapılan açıklamada, iddiaların “temelsiz” olduğu belirtilerek, “Çin, her türlü siber saldırıya ve siber suça kesinlikle karşıdır. Aynı zamanda, somut bir kanıt olmadan başkalarını karalamaya da kesinlikle karşıyız,” denildi.
Sadece Bir Şirket İçi Sunucu Sorunu
Microsoft, bu saldırıların sadece şirketlerin kendi sunucularında barındırdığı (on-premises) SharePoint dağıtımlarını etkilediğinin altını çizdi. Bulut tabanlı olan Microsoft 365 SharePoint Online hizmeti bu zafiyetten etkilenmiyor.
Acil Durum Yamaları ve Yapılması Gerekenler
Microsoft, bu yeni sıfır gün açıklarını gidermek için acil durum güvenlik yamaları yayınladı. Şirket, “Bu istismarların hızla benimsenmesiyle birlikte, tehdit aktörlerinin bunları yamalanmamış şirket içi SharePoint sistemlerine yönelik saldırılarına entegre etmeye devam edeceğine yüksek bir güvenle inanıyoruz,” diyerek tüm müşterilerini acilen güncelleme yapmaya çağırdı.
Uzmanlar, sadece yama yapmanın yeterli olmayabileceğini, saldırganlar şifreleme anahtarlarını çaldıysa, yama yapıldıktan sonra bile sisteme geri dönebilecekleri konusunda uyarıyor. Bu nedenle, yama yapmanın yanı sıra ASP.NET makine anahtarlarının döndürülmesi (rotate) de kritik önem taşıyor.
Microsoft’un bu saldırıları doğrudan Çin devlet destekli gruplara bağlaması, iki ülke arasındaki siber alandaki gerilimi daha da artıracak bir gelişme. Bu olay, özellikle şirket içi sunucu kullanan kurumların siber güvenlik konusundaki sorumluluklarının ne kadar büyük olduğunu bir kez daha kanıtlıyor.
Sizce bu tür devlet destekli siber saldırılarla mücadelede şirketlere mi yoksa hükümetlere mi daha büyük bir rol düşüyor? Kurumların bulut tabanlı hizmetlere geçmesi, bu tür saldırılara karşı daha iyi bir koruma sağlar mı? Düşüncelerinizi yorumlarda bizimle paylaşın!
En son devlet destekli siber saldırılar ve kurumsal siber güvenlik tehditleri hakkındaki haberler için techneiro.com‘u takip etmeye devam edin!
