Microsoft SharePoint’te kritik güvenlik açığı: 75’ten fazla şirket sunucusu hedefte

Microsoft SharePoint Server’da keşfedilen kritik bir sıfır gün güvenlik açığı, dünya genelinde yüzlerce sunucunun saldırıya uğramasına yol açtı. CVE-2025-53770 olarak takip edilen bu açık, Microsoft’un Temmuz 2025 güncellemelerinde kısmen düzelttiği bir başka açıkla bağlantılı. Ancak yeni keşfedilen varyant, “deserialization” (veri işleme) mekanizmasındaki zaafı kullanarak saldırganların yetkisiz kod çalıştırmasına imkân tanıyor. Microsoft’un 19 Temmuz 2025 tarihinde yayınladığı uyarıya göre, yetkisiz kişiler ağ üzerinden bu açığı kullanarak sistemde kod çalıştırabiliyor.

Viettel Cyber Security firması tarafından Trend Micro’nun Zero Day Initiative programına bildirilip tespit edilen bu güvenlik zafiyeti, Microsoft tarafından kapsamlı bir güncelleme ile giderilmeye hazırlanıyor. Ancak güncelleme henüz kullanıma sunulmadığı için saldırılar devam ediyor.

SALDIRININ DETAYLARI VE TEHLİKE BOYUTU

Saldırganlar, SharePoint sunucularının güvenilir olmayan veri işleme yapısındaki açığı kullanarak, kullanıcı doğrulaması olmadan sisteme sızabiliyor. Bu sayede, çalınan makine anahtarlarıyla (MachineKey) sahte ve güvenilir komutlar üretebiliyorlar. Böylece kötü niyetli yazılımlar sistemde uzun süre kalabiliyor ve ağ içinde yatay hareket yaparak başka kaynaklara erişim sağlayabiliyor. Siber güvenlik şirketi Eye Security ve Palo Alto Networks’un güvenlik birimi Unit 42, benzer bir açık zincirinin ToolShell kod adıyla kullanıldığını belirtti.

Bu saldırı dalgası kapsamında 29 farklı kurumun 85’ten fazla SharePoint sunucusunun ele geçirildiği tespit edildi. Kurumlar arasında çok uluslu şirketler ve devlet kurumları da bulunuyor. WatchTowr CEO’su Benjamin Harris, saldırganların VIEWSTATE mekanizmasını kullanarak şifreli verileri ele geçirip, SharePoint tarafından kabul edilen sahte veriler oluşturduklarını ve böylece uzaktan kod çalıştırma yetkisi elde ettiklerini açıkladı.

MİCROSOFT VE CISA’DAN KRİTİK UYARILAR

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açığın aktif şekilde istismar edildiğini duyurarak, Microsoft ile yakın iş birliği içinde çalıştıklarını bildirdi. CISA Siber Güvenlik Yardımcı Direktörü Chris Butera, kurumların acilen Microsoft’un önerdiği önlemleri uygulaması gerektiğini vurguladı. Microsoft ise henüz resmi güncellemeleri tam olarak yayımlamadı ancak Antimalware Scan Interface (AMSI) entegrasyonunun SharePoint sunucularında aktif hale getirilmesini ve Defender AV’nin kullanmasını öneriyor.

AMSI’nin 2023 Eylül güncellemesinden sonra varsayılan olarak açık geldiği belirtilirken, güncellemeyi bekleyenlerin sunucularını internetten izole etmeleri öneriliyor. Ayrıca Defender for Endpoint’in kullanımıyla saldırı sonrası hareketlerin tespiti mümkün olabiliyor. Uzmanlar, bu güvenlik açığının uzun vadede şirketlerin altyapılarında ciddi zafiyetler yaratabileceği konusunda uyarıyor.

Microsoft SharePoint kullanıcılarının hızlı şekilde güvenlik önlemlerini uygulamaları, gelişmelerin yakından takip edilmesi büyük önem taşıyor. Bu siber saldırı dalgası, Türkiye’deki kurumlar için de önemli bir tehdit oluşturabilme potansiyelini haiz.