Microsoft SharePoint Server’da Keşfedilen Kritik Sıfır Gün Güvenlik Açığı Dünya Genelinde Etkili Olmaya Devam Ediyor

Microsoft SharePoint Server’da keşfedilen kritik bir sıfır gün güvenlik açığı, dünya genelinde yüzlerce sunucunun saldırıya uğramasına neden oldu. CVE-2025-53770 olarak tanımlanan bu açık, Microsoft’un Temmuz 2025 güncellemelerinde kısmen düzeltildiği bir başka açıkla ilişkilendiriliyor. Ancak yeni keşfedilen varyant, “deserialization” (veri işleme) mekanizmasındaki zayıflıkları kullanarak saldırganlara yetkisiz kod çalıştırma olanağı sağlıyor. Microsoft’un 19 Temmuz 2025 tarihli uyarısına göre, kötü niyetli kişiler bu açığı kullanarak ağ üzerinden sisteme müdahale edebiliyor.

Viettel Cyber Security firması tarafından Trend Micro’nun Zero Day Initiative programına bildirilen bu güvenlik açığı, Microsoft tarafından detaylı bir güncelleme ile ele alınmaya çalışılıyor. Ancak güncellemenin henüz yayımlanmamış olması nedeniyle saldırılar devam ediyor.

Saldırı Detayları ve Tehlike Boyutu

Saldırganlar, SharePoint sunucularındaki güvensiz veri işleme yapısını kullanarak, yetkisiz bir şekilde sistemlere giriş yapıyor. Böylelikle, çalınan makine anahtarlarıyla (MachineKey) sahte ve güvenilir komutlar oluşturabiliyorlar. Bu durum kötü amaçlı yazılımların sistemde uzun süre kalmasına ve ağ içinde hareket ederek başka kaynaklara ulaşmasına olanak tanıyor. Siber güvenlik şirketi Eye Security ve Palo Alto Networks’un güvenlik birimi Unit 42, ToolShell adı altında benzer bir açık zincirinin kullanıldığını belirtti.

Bu saldırı dalgası, 29 farklı kurumda 85’ten fazla SharePoint sunucusunun etkilendiği anlaşıldı. Bu kurumlar arasında çok uluslu şirketler ve devlet kurumları da bulunmaktadır. WatchTower CEO’su Benjamin Harris, saldırganların VIEWSTATE mekanizmasını kullanarak şifreli verileri ele geçirip, SharePoint’ten kabul edilen sahte veriler oluşturduklarını ve böylece uzaktan kod çalıştırma yetkisi kazandıklarını açıkladı.

Microsoft ve CISA’dan Kritik Uyarılar

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açığın aktif bir şekilde istismar edildiğini duyurarak, Microsoft ile yakın iş birliği içinde olduklarını belirtti. CISA Siber Güvenlik Yardımcı Direktörü Chris Butera, kurumların acilen Microsoft’un önerdiği önlemleri alması gerektiğini vurguladı. Microsoft, henüz resmi güncellemeleri yayınlamamış olsa da Antimalware Scan Interface (AMSI) entegrasyonunun SharePoint sunucularında aktif hale getirilmesini ve Defender AV’nin kullanılmasını tavsiye ediyor.

AMSI’nın 2023 Eylül güncellemesinden bu yana varsayılan olarak etkili olduğu belirtilirken, güncellemeyi bekleyenlerin sunucularını internetten izole etmeleri öneriliyor. Ayrıca Defender for Endpoint’in kullanılması ile saldırı sonrası aktivitelerin tespit edilmesi mümkün hale gelmektedir. Uzmanlar, bu güvenlik açığının uzun vadede şirketlerin altyapılarında ciddi sorunlara yol açabileceği konusunda uyarıda bulunmaktadır.

Microsoft SharePoint kullanıcılarının hızlı bir şekilde güvenlik tedbirlerini uygulamaları ve gelişmeleri yakından takip etmeleri son derece önemlidir. Bu siber saldırı dalgası, Türkiye’deki kurumlar için de ciddi bir tehdit oluşturabilecek seviyededir.