Microsoft SharePoint sunucularına siber saldırı: Binlerce kurum tehlike altında

Microsoft'un SharePoint sunucularına düzenlenen ve tek bir aktör tarafından gerçekleştirildiği düşünülen sıfırıncı gün (zero-day) siber saldırısı, dünya genelinde binlerce hükümet kuruluşu ve işletmeyi tehdit ediyor. Uzmanlar, acil güvenlik güncellemeleri ve ek önlemlerin alınması gerektiğini vurguluyor.

Giriş: 21.07.2025 - 17:25 Güncelleme: 21.07.2025 - 17:25

Microsoft’un, hükümet kurumları ve işletmeler tarafından dosya paylaşımı ve iş birliği için yaygın olarak kullanılan SharePoint sunucu yazılımına yönelik küresel bir siber saldırı, ciddi bir güvenlik tehdidi oluşturuyor. 18 Temmuz 2025’te başlayan ve sıfırıncı gün (zero-day) olarak sınıflandırılan bu saldırı, daha önce bilinmeyen bir güvenlik açığından faydalanılarak gerçekleştirildi. Britanya merkezli siber güvenlik firması Sophos’un Tehdit İstihbaratı Direktörü Rafe Pilling, saldırının tutarlı yöntemlerine dayanarak tek bir aktör tarafından düzenlendiğini, ancak bu durumun hızla değişebileceğini belirtti. Microsoft, 19 Temmuz’da yayınladığı uyarıyla, yalnızca şirket içi (on-premises) SharePoint sunucularının etkilendiğini, Microsoft 365 bulut tabanlı SharePoint Online’ın ise bu saldırıdan zarar görmediğini açıkladı. FBI, saldırılar hakkında bilgi sahibi olduğunu ve federal ile özel sektör ortaklarıyla çalıştığını belirtirken, detay paylaşmadı. Uzmanlar, 8.000’den fazla sunucunun halihazırda risk altında olabileceğini ifade ediyor.

REKLAM

Shodan arama motorunun verilerine göre, dünya genelinde 8.000’den fazla internete bağlı sunucu bu saldırıdan etkilenmiş olabilir. Bu sunucular arasında büyük sanayi şirketleri, bankalar, denetim firmaları, sağlık kuruluşları, ABD eyalet hükümet birimleri ve uluslararası devlet kurumları bulunuyor. Britanya merkezli siber güvenlik danışmanlığı firması PwnDefend’den Daniel Card, “SharePoint olayı, dünya genelinde çok çeşitli sunucularda geniş çaplı bir güvenlik ihlaline yol açtı,” diyerek durumun ciddiyetini vurguladı. Saldırganlar, aynı dijital yükü (payload) birden fazla hedefe göndererek tutarlı bir saldırı yöntemi kullandılar, bu da saldırının organize bir şekilde gerçekleştirildiğini gösteriyor.

Sıfırıncı gün açığı olarak sınıflandırılan bu güvenlik açığı, siber güvenlik araştırmacıları tarafından daha önce bilinmiyordu ve CVE-2025-53770 koduyla tanımlandı. Saldırganlar, SharePoint sunucularındaki bu açığı kullanarak yetkisiz erişim sağladı ve uzaktan kod çalıştırma (RCE) yeteneği elde etti. Bu, sistemlerin dosya yapılarına ve iç yapılandırmalarına tam erişim imkânı sundu. Microsoft, Temmuz 2025 Patch Tuesday güncellemelerinde bu açığın bazı varyantlarını (CVE-2025-49704 ve CVE-2025-49706) kısmen ele almış olsa da, yeni keşfedilen bu açık, önceki yamaları bypass eden bir yapıya sahip. Uzmanlar, saldırganların çaldıkları kriptografik anahtarlarla (ValidationKey ve DecryptionKey) sistemlere kalıcı erişim sağlayabildiğini ve yalnızca yama uygulamanın yeterli olmadığını belirtiyor.

Microsoft, 19 Temmuz 2025’te SharePoint Subscription Edition ve SharePoint 2019 için güvenlik güncellemeleri yayınladığını duyurdu. Ancak SharePoint 2016 için henüz bir yama bulunmuyor ve şirket, bu sürüm için güncellemelerin geliştirilmekte olduğunu belirtti. Microsoft, müşterilere Antimalware Scan Interface (AMSI) entegrasyonunu etkinleştirmelerini ve tüm SharePoint sunucularında Microsoft Defender Antivirus’u kullanmalarını önerdi. AMSI’nin etkinleştirilemediği durumlarda, sunucuların internet bağlantısının kesilmesi gerektiği vurgulandı. Ayrıca, sistem yöneticilerinin potansiyel ihlalleri tespit etmek için kapsamlı günlük kaydı ve tehdit avcılığı yapmaları öneriliyor. Microsoft, etkilenen sistemlerdeki kriptografik anahtarların değiştirilmesinin kritik olduğunu, aksi takdirde yamaların tam koruma sağlamayabileceğini belirtti.

Saldırılar, ilk olarak Hollanda merkezli siber güvenlik firması Eye Security tarafından 18 Temmuz’da tespit edildi ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından hızla ele alındı. CISA, CVE-2025-53770’i Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekleyerek federal kurumlara 21 Temmuz’a kadar önlem almaları talimatını verdi. FBI, 20 Temmuz’da yaptığı açıklamada, saldırıların farkında olduğunu ve federal ile özel sektör ortaklarıyla iş birliği yaptığını belirtti, ancak daha fazla bilgi vermedi. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ise henüz bir açıklama yapmadı. Uzmanlar, bu tür saldırıların veri hırsızlığıyla sınırlı kalmayıp fidye yazılımı veya hizmet kesintisi gibi daha ciddi sonuçlara yol açabileceğini ifade ediyor.

Siber güvenlik uzmanları, özellikle Microsoft gibi yaygın kullanılan platformlarda sıfırıncı gün açıklarının ciddi bir tehdit oluşturduğunu vurguluyor. PwnDefend’den Daniel Card, “İhlal varsayımı yaklaşımı benimsemek akıllıca olacaktır ve sadece yama uygulamanın yeterli olmadığını anlamak önemlidir,” diyerek sistemlerin derinlemesine incelenmesi gerektiğini belirtti. Uzmanlar, SharePoint sunucularının genellikle Outlook, Teams ve OneDrive gibi temel hizmetlerle bağlantılı olduğunu, bu nedenle bir ihlalin ağ genelinde veri hırsızlığı, parola toplama ve yanal hareket gibi ciddi sonuçlara yol açabileceğini ifade ediyor. Rafe Pilling, saldırının şu an için tek bir aktör tarafından gerçekleştirildiğini, ancak benzer yöntemlerin diğer aktörler tarafından hızla benimsenebileceğini belirtti.