ABD federal hükümeti ve siber güvenlik araştırmacıları, Microsoft’un SharePoint’inde yeni keşfedilen bir güvenlik açığının tehdit altında olduğunu söylüyor.
ABD siber güvenlik ajansı CISA, sonu bilgisayar korsanlarının bu açığı aktif olarak kullandığı konusunda alarm verdi. Microsoft, etkilenen tüm SharePoint sürümleri için henüz yama sağlamadı ve bu durum, dünya genelindeki müşterilerin devam eden saldırılara karşı savunmasını büyük ölçüde imkansız hale getirdi.
Microsoft SharePoint siber saldırı ile zor durumda kaldı
Microsoft, resmi olarak CVE-2025-53771 olarak bilinen hatanın, şirketlerin kendi sunucularında kurup yönettiği SharePoint sürümlerini etkilediğini söyledi. SharePoint, şirketlerin dahili dosyalarını depolamasına, paylaşmasına ve yönetmesine olanak tanıyor. Microsoft, bilgisayar korsanlarının bu güvenlik açığından faydalanmasını önlemek için güvenlik düzeltmeleri üzerinde çalıştığını açıkladı. Satıcıya, farkına varmadan önce hatayı düzeltmesi için zaman verilmediği için “sıfır gün” olarak tanımlanan bu kusur, SharePoint Server 2016 gibi eski yazılım sürümlerini bile etkiliyor.
Şimdiye kadar kaç sunucunun saldırıya uğradığı henüz bilinmiyor, ancak yazılıma güvenen binlerce küçük ve orta ölçekli işletmenin etkilenmiş olması muhtemel. The Washington Post’a göre, saldırılarda halihazırda birçok ABD federal kurumu, üniversite ve enerji şirketi ele geçirildi.
Hatayı ilk olarak ortaya çıkaran Eye Security, yayınlandığı tarihte çevrimiçi olarak aktif olarak istismar edilen “düzinelerce” Microsoft SharePoint sunucusu bulduğunu açıkladı. Bu hata, istismar edildiğinde, bilgisayar korsanlarının oturum açmak için herhangi bir kimlik bilgisine ihtiyaç duymadan SharePoint sunucularından özel dijital anahtarları çalmasına olanak tanıyor. Saldırganlar, bir kez sisteme girdikten sonra uzaktan kötü amaçlı yazılım yerleştirip, içinde depolanan dosya ve verilere erişebiliyor. Eye Security, SharePoint’in Outlook, Teams ve OneDrive gibi diğer uygulamalarla bağlantı kurduğu ve bunun da daha fazla ağ ihlaline ve veri hırsızlığına yol açabileceği konusunda uyardı.
Eye Security, söz konusu hatanın sunucuda meşru istekleri taklit etmek için kullanılabilecek dijital anahtarların çalınmasını içerdiğini ve etkilenen müşterilerin hem hatayı düzeltmeleri hem de bilgisayar korsanlarının sunucuyu tekrar ele geçirmesini önlemek için dijital anahtarlarını döndürmek üzere ek adımlar atmaları gerektiğini söyledi.
CISA ve diğerleri, müşterilerini “önerilen eylemi derhal gerçekleştirmeye” çağırdı. Yama veya hafifletme önlemlerinin bulunmaması durumunda, müşterilerin potansiyel olarak etkilenen sistemlerin internet bağlantısını kesmeyi düşünmeleri gerekiyor.
