Kritik Microsoft SharePoint Zafiyeti

Microsoft SharePoint Server’da tespit edilen yeni bir güvenlik açığı, dünya genelinde aktif olarak istismar ediliyor. CVE-2025-53770 olarak takip edilen bu açık, Temmuz 2025'te yamalanan CVE-2025-49704’ün bir varyantı olup, yetkisiz saldırganlara ağ üzerinden uzaktan kod yürütme (RCE) olanağı tanıyor. Microsoft, bu tehdide karşı acil önlemler alınması gerektiğini belirtti.   Teknik Detaylar: Açık Kodu: CVE-2025-53770 CVSS Puanı: 9.8 (Kritik) Etkilenen Sistemler: On-premise Microsoft SharePoint Server 2016, 2019 ve Subscription Edition Açığın Türü: Güvensiz veri serileştirilmesi (untrusted deserialization) → kimlik doğrulama öncesi RCE Nasıl İstismar Ediliyor? Saldırganlar, SharePoint’in serileştirme mantığındaki zafiyeti kullanarak kimlik doğrulama gerektirmeden komut çalıştırabiliyor. Ardından SharePoint sunucusunun MachineKey yapılandırması (ValidationKey & DecryptionKey) ele geçirilerek sahte ama geçerli görünen __VIEWSTATE yükleri oluşturuluyor. Bu sayede: Kalıcı erişim sağlanıyor Yanal hareket (lateral movement) mümkün oluyor Meşru görünüm altında kötü amaçlı etkinlik gizlenebiliyor İlişkili Zafiyet Zinciri: ToolShell CVE-2025-53770, daha önce bildirilen: CVE-2025-49704 (RCE) CVE-2025-49706 (Spoofing & Auth Bypass) zafiyetleri ile zincirleme şekilde kullanılabiliyor. Bu saldırı zinciri, “ToolShell” olarak adlandırılıyor. Eye Security tarafından tespit edilen saldırılarda, /_layouts/SignOut.aspx Referer başlığı üzerinden sistemlere giriş sağlandığı belirtiliyor. Microsoft'un Önerdiği Geçici Önlemler: AMSI entegrasyonunu etkinleştirin (SharePoint Server 2016/2019 için Eylül 2023 güncellemesinden itibaren varsayılan olarak açık) Defender Antivirus tüm SharePoint sunucularına kurulu olmalı Defender for Endpoint ile davranışsal tespit ve engelleme uygulanmalı AMSI etkin değilse sunucunun internet bağlantısı kesilmeli Microsoft, 53770 ve buna bağlı yeni bir açık olan CVE-2025-53771 için güvenlik yamalarını yayınladı. Ancak ele geçirilmiş MachineKey bilgileri yamayla silinmez, bu yüzden etki analizi ve anahtar rotasyonu kritik önem taşır. Etkilenen Kuruluşlar: 29 farklı kuruluş (aralarında kamu kurumları ve çok uluslu firmalar var) 85’ten fazla SharePoint sunucusu kötü amaçlı web kabukları ile ele geçirilmiş durumda. CISA Uyarıyor: ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), saldırıların aktif şekilde devam ettiğini ve ulusal güvenlik açısından önemli bir tehdit oluşturduğunu belirtti. Kurumlara acil aksiyon çağrısında bulunuldu. EK Olarak; Microsoft, bu güvenlik açıklarını yamalamış olsa da, önceden ele geçirilmiş sistemlerde kalıcı tehditlerin devam edebileceğini belirtiyor. Yamadan sonra anahtar döndürme (key rotation) ve güvenlik izleme çözümleriyle olay tespiti büyük önem taşır. Kurumlar, SharePoint ortamlarında olağandışı PowerShell aktiviteleri, sistem dosya değişiklikleri ve __VIEWSTATE trafiğini yakın takip etmelidir. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]