TECHNEIRO

TECHNEIRO
Siber Güvenlik

SharePoint’te Kırmızı Alarm: Microsoft Uyardı, “Sunucunuzun Hacklendiğini Varsayın!”

ibrahim0

SharePoint’te Kırmızı Alarm: Microsoft Uyardı, “Sunucunuzun Hacklendiğini Varsayın!”

Microsoft, kurumsal dünyada yaygın olarak kullanılan iş birliği platformu SharePoint Server için, bilgisayar korsanları tarafından aktif olarak istismar edildiği tespit edilen ve en yüksek kritiklik seviyesine sahip yeni bir güvenlik açığı için Pazar günü acil bir güvenlik yaması yayınladı. CVE-2025-53770 koduyla takip edilen ve CVSS puanı 9.8 (Kritik) olan bu zafiyet, saldırganların hedef sunucularda uzaktan kod çalıştırmasına olanak tanıyor.

Güvenlik uzmanları, internete açık bir şirket içi (on-premises) SharePoint sunucunuz varsa, “halihazırda saldırıya uğradığınızı varsaymanız gerektiğini” belirterek durumun ciddiyetinin altını çiziyor.

Zafiyetin Detayları: “ToolShell” ve Daha Sağlam Korumalar

Bu yeni ve tehlikeli zafiyet, aslında Microsoft’un Temmuz ayı Salı Yaması’nda düzeltmeye çalıştığı bir dizi açığın devamı niteliğinde.

  • CVE-2025-53770: Bu, güvenilmeyen verilerin seri durumdan çıkarılması (deserialization) nedeniyle ortaya çıkan bir Uzaktan Kod Yürütme (RCE) zafiyetidir. Microsoft, bu yeni yamanın, Temmuz ayında yamalanan CVE-2025-49704’ten “daha sağlam korumalar” içerdiğini belirtti.
  • CVE-2025-53771: Aynı zamanda, bir saldırganın ağ üzerinden sahtekarlık (spoofing) yapmasına olanak tanıyan, 6.3 CVSS puanına sahip ikinci bir zafiyet de açıklandı ve yamalandı.

Bu zafiyetlerin, saldırganlar tarafından zincirleme bir şekilde kullanıldığı ve “ToolShell” olarak adlandırılan bir istismar zincirinin parçası olduğu belirtiliyor.

Saldırılar Başladı Bile: Onlarca Kurum Ele Geçirildi

Bu sadece teorik bir risk değil. Saldırganlar bu açığı çoktan kullanmaya başladı.

  • Güvenlik firması Eye Security, aralarında bankalar, üniversiteler ve devlet kurumlarının da bulunduğu en az 54 kuruluşun bu zafiyet kullanılarak ele geçirildiğini bildirdi. Aktif saldırıların 18 Temmuz civarında başladığı belirtiliyor.
  • Palo Alto Networks Unit 42, durumu “yüksek etkili, devam eden bir tehdit kampanyası” olarak nitelendirdi ve saldırganların çok faktörlü kimlik doğrulama (MFA) ve tek oturum açma (SSO) gibi kimlik kontrollerini atlayarak ayrıcalıklı erişim elde ettiğini belirtti.
  • ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2025-53770’i kendi Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek, federal kurumlara bu yamayı 21 Temmuz 2025‘e kadar uygulamaları için acil bir talimat verdi.

Unit 42’den Michael Sikorski’nin uyarısı ise son derece net:

“Saldırganlar bu zafiyeti sistemlere girmek için kullandılar ve şimdiden yerlerini sağlamlaştırıyorlar… Bu, özellikle SharePoint’in Office, Teams, OneDrive ve Outlook gibi hizmetlerle derin entegrasyonu nedeniyle endişe verici. Bir sızıntı sınırlı kalmıyor; tüm ağa kapı açıyor.”

Hangi Sürümler Etkileniyor ve Ne Yapılmalı? (Acil Eylem Planı)

Bu zafiyetler sadece şirketlerin kendi sunucularında barındırdığı (on-premises) SharePoint Server sürümlerini etkiliyor. Microsoft 365 üzerindeki SharePoint Online hizmeti bu riskten etkilenmiyor.

Etkilenen sürümler için yayınlanan yamalar şunlar:

  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server Subscription Edition

Eğer kurumunuzda bu sunuculardan birini kullanıyorsanız, Microsoft’un önerdiği acil eylem adımları şunlardır:

  1. ✅ ACİLEN YAMA YAPIN: En son güvenlik güncellemelerini hiçbir gecikme olmadan derhal sunucularınıza kurun.
  2. 🛡️ AMSI’ı ETKİNLEŞTİRİN: Antimalware Tarama Arayüzü’nün (AMSI) açık ve optimum koruma için **”Tam Mod”**da olduğundan emin olun.
  3. 🔑 ANAHTARLARI DEĞİŞTİRİN: Güncellemeyi veya AMSI’ı etkinleştirdikten sonra, tüm SharePoint sunucularındaki ASP.NET makine anahtarlarını döndürmeniz (rotate) ve IIS’i yeniden başlatmanız kritik öneme sahiptir.
  4. 🚨 ACİL DURUM PLANI: Palo Alto Networks, bir yama mevcut olana kadar acil bir “ilk yardım” düzeltmesi olarak, Microsoft SharePoint sunucunuzun internet bağlantısını kesmeyi öneriyor.

Bu kritik zafiyet, kurumsal sistemlerde yama yönetiminin ve hızlı müdahalenin ne kadar hayati olduğunu bir kez daha gösteriyor. Uzmanların “saldırıya uğradığınızı varsayın” uyarısı, durumun ciddiyetini ve sadece yama yapmanın yeterli olmayabileceğini, aynı zamanda bir sızma olup olmadığını kontrol etmek için olay müdahale süreçlerinin de başlatılması gerektiğini vurguluyor.

Sizin çalıştığınız kurumda bu tür kritik uyarılar ne kadar hızlı bir şekilde aksiyona dönüştürülüyor? Bu olay, şirket içi (on-premise) yazılımların güvenlik riskleri hakkındaki düşüncelerinizi nasıl etkiledi? Yorumlarda bizimle paylaşın!

En son kritik siber güvenlik açıkları ve kurumunuzu nasıl koruyacağınıza dair önemli bilgiler için techneiro.com‘u takip etmeye devam edin!

İlgili Gönderiler

VPN Kayıtları: Dijital İzleriniz Güvende mi? Gerçekler!

ibrahim

Google’dan “2.5 Milyar Gmail Hesabı Tehlikede” İddialarına Yalanlama: “Uyarılar Sahte!”

ibrahim

Android AI Uygulamaları Verilerinizi Sızdırıyor

ibrahim

Bir Yorum Bırakın

Bir sonraki yorumumda kullanılmak üzere adımın, e-posta adresimin ve internet sitemin bu tarayıcıda kaydedilmesini sağla.