Şirkete göre, Microsoft’un sunucular için SharePoint yazılımı, yetkisiz erişim elde etmek için bir Uzaktan Kod Yürütme (RCE) güvenlik açığı kullanan kötü amaçlı aktörler tarafından hedefleniyor. Güvenlik kusuru, tehdit aktörlerinin SharePoint sunucuları olan binlerce firmada şirket içi sunucuları hedeflemesine izin veriyor. Araştırmacılar, saldırganlar bu sunucuları ihlal ettikten sonra, sunucu yamalı olsa bile sürekli erişim elde edebileceklerini belirtiyorlar. Microsoft, aktif saldırıları azaltabilecek bir güvenlik yaması sunduğunu ve daha fazlasının yolda olduğunu söylüyor.
Tehdit Oyuncuları Microsoft SharePoint Sunucularına Kalıcı Erişim Kazandı
Şirket içi sunucuları etkileyen güvenlik açığı 18 Temmuz’da bildirildi Avrupa siber güvenlik firması göz güvenliğindeki araştırmacılar tarafından. Tehdit aktörlerinin, kaba kuvvet saldırıları veya kimlik avı kullanmadan sunuculara erişim elde etmek için (o zamandan beri CVE-2025-53770 ve CVE-2025-53770 ve CVE-2025-53770 olarak tanımlandığı) sıfır gün veya daha önce bilinmeyen bir güvenlik açığı kullandığını açıkladılar.
Microsoft, şirket içi SharePoint Server müşterilerini hedefleyen aktif saldırıların farkındadır ve CVE-2025-49706 varyantını kullanır. Bu güvenlik açığı CVE-2025-53770 atanmıştır.
Blogumuzda hafifletmeler ve tespitleri özetledik. Ekibimiz acilen yayınlamak için çalışıyor…
– Güvenlik yanıtı (@MSftSecResponse) 20 Temmuz 2025
Yeni sıfır gün kırılganlığı, bu yılın başlarında PWN2own Berlin’de (bir güvenlik yarışması) sergilenen bir istismarın silahlandırılmış bir versiyonudur. ABD CISA, tehdit aktörlerinin ağda kod yürütebileceği konusunda uyarıyor ve Tüm SharePoint içeriğine erişim sağlayın Dahili yapılandırmalar veya dosya sistemleri gibi bir sunucuda.
Araştırmacılara göre, bu saldırganlar meşru kullanıcılar adına hareket etmek için çalıntı anahtarları kullanabilirler. Sonuç olarak, bu saldırganlar bileşenleri değiştirebilir ve güvenlik yamaları yüklendikten veya sistemler yeniden başlatıldıktan sonra sunuculara erişimi korumalarını sağlayan diğer kodları yükleyebilir.
Palo Alto Networks ‘Birimi 42, X (eski adıyla Twitter), tehdit istihbarat ekibinin gözlemlediğini yazdı “Aktif küresel sömürü” dünyadaki organizasyonları hedeflemek için kullanılan SharePoint güvenlik açıkları. Bu saldırıların ek detayları, Ünite 42’nin Github’uyla paylaşıldı Tehdit Intel Deposu.
Bir gün sonra Microsoft Güvenlik Yanıt Merkezi (MSRC) bir danışmanlık yayınladı Bu, güvenlik kusurunun tehdit aktörleri tarafından aktif olarak kullanıldığını doğrular. Şirket, SharePoint Abonelik Sürümü ve SharePoint 2019 sunucularını bu istismar kullanarak aktif saldırılara karşı korumak için bir güvenlik yaması yayınladığını söylüyor.
Bu hikayeyi yayınlarken Microsoft, SharePoint 2016 sunucuları için henüz bir güvenlik güncellemesi yayınlamamıştır. Şirketin danışmanlığı ayrıca müşterileri Temmuz 2025 güvenlik güncellemelerini uygulamaya çağırıyor, Antimal Yazılım Tarama Arayüzü (AMSI) SharePoint’te ve Microsoft Defender veya benzeri çözümleri dağıtın.
