Microsoft SharePoint‘te keşfedilen kritik bir Zero-Day açığı, yüzlerce sistemi tehdit ederken, sadece güvenlik yamasının uygulanmasının yeterli olmayabileceği belirtiliyor. Özellikle kurum içi (on-premise) kurulumlara yönelik saldırılar, sistemlere kalıcı arka kapılar bırakmış olabilir.
Yeni SharePoint Açığı: CVE-2025-53770
20 Temmuz 2025 tarihinde duyurulan CVE-2025-53770 kodlu açıklık, Microsoft SharePoint’in on-premise versiyonlarını hedef alıyor. Saldırganlar, kimlik doğrulaması olmadan özel HTTP istekleriyle sistemlere zararlı Webshell yerleştirebiliyor. En sık kullanılan yöntemlerden biri, spinstall0.aspx adlı Webshell’in /_layouts/15/ dizinine yüklenmesi.
Patch Atmak Yeterli Değil
Microsoft, söz konusu açıklık için bir yama yayınlamış olsa da, uzmanlara göre bu yamayı uygulamak halihazırda sistemde bulunan tehditleri ortadan kaldırmak için yeterli değil. Özellikle saldırganlar sistemde kalıcı izler bırakabildiği için detaylı kompromitasyon analizi şart.
Tehdit Göstergeleri: Neleri Kontrol Etmelisiniz?
- Webshell Adı:
spinstall0.aspx - İstek yolları:
/_layouts/15/ToolPane.aspx(Referer:/_layouts/SignOut.aspx) - Şüpheli IP’ler: 107.191.58[.]76, 45.77.155[.]170, 154.223.19[.]106
- Dosya İzi:
debug_dev.jsiçindeBase64kodlu komutlar - Yürütme Yolu:
w3wp.exeüzerinden Powershell erişimi
Ne Yapmalısınız?
Sadece yamayı yüklemek yeterli değildir. Aşağıdaki adımları da mutlaka uygulayın:
- Belirtilen IoC’lere (Indicator of Compromise) göre sistem loglarını analiz edin.
- Yara veya Thor Lite gibi güvenlik analiz araçlarıyla tarama yapın.
- Tespit edilen Webshell’leri kaldırın ve ValidationKey / DecryptionKey anahtarlarını yenileyin.
- Tüm servis ve yönetici şifrelerini değiştirin.
- IIS logları ve Windows Event logları üzerinden şüpheli aktiviteleri inceleyin.
Uzmanlardan Uyarı: Tehdit Yayılıyor
İlk saldırı dalgası kamu kurumları, sağlık ve eğitim gibi sektörleri hedef aldı. Ancak Proof-of-Concept (PoC) açık kaynakta yayıldığı için kısa sürede daha geniş saldırılar bekleniyor. Microsoft’un Defender for Endpoint gibi araçlarının yanında açık kaynaklı Yara kuralları da sistemleri korumada etkili olabilir.
Sonuç
Bu son SharePoint zafiyeti, kurumların sadece yamayla yetinmemesi gerektiğini bir kez daha gösteriyor. Detaylı iz taramaları yapılmadığı sürece, siber saldırganlar sistemlerde kalmaya devam edebilir. Siber hijyenin bir parçası olarak düzenli penetrasyon testi ve tehdit avı (threat hunting) süreçleri artık bir gereklilik.
