Microsoft, SharePoint sunucularına yönelik devam eden güvenlik açıklarının kötüye kullanımını Linen Typhoon ve Violet Typhoon adlı iki Çinli hacker grubuna resmî olarak bağladı. Bu faaliyetlerin en erken 7 Temmuz 2025 tarihinde başladığı belirtildi ve önceki raporlar da bu bilgiyi doğruluyor.
Teknoloji devi ayrıca, Storm-2603 olarak izlediği Çin merkezli üçüncü bir tehdit aktörünün de bu açıkları kullanarak hedef organizasyonlara ilk erişimi sağladığını gözlemlediğini belirtti.
Microsoft, bugün yayımladığı raporda şunları söyledi:
“Bu açıkların hızla benimsenmesi nedeniyle, yüksek güven düzeyiyle değerlendiriyoruz ki tehdit aktörleri yamanmamış yerel SharePoint sistemlerine yönelik saldırılarında bu açıklardan yararlanmaya devam edeceklerdir.”
Tehdit Gruplarına Kısa Bakış:
Linen Typhoon (diğer adlarıyla APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix ve UNC215):
2012’den bu yana aktif. SysUpdate, HyperBro ve PlugX gibi kötü amaçlı yazılım aileleriyle ilişkilendiriliyor.Violet Typhoon (diğer adlarıyla APT31, Bronze Vinewood, Judgement Panda, Red Keres ve Zirconium):
2015’ten beri aktif. ABD, Finlandiya ve Çekya’yı hedef alan saldırılarla ilişkilendirildi.Storm-2603:
Çin merkezli olduğu düşünülen bir tehdit aktörü. Daha önce Warlock ve LockBit fidye yazılımlarını kullandığı tespit edildi.
Güvenlik Açıkları:
Açıklar, yerel (on-premises) SharePoint sunucularını etkiliyor.
Sorunlar, CVE-2025-49706 (spoofing açığı) ve CVE-2025-49704 (uzaktan kod yürütme açığı) için yapılan eksik yamaların etrafından dolaşarak sistemlere sızılmasına dayanıyor.
Bu bypass’lara şu yeni CVE numaraları verildi:
CVE-2025-53771
CVE-2025-53770
Eğer sistemlerinizde yerel SharePoint sunucuları bulunuyorsa, yamaların eksiksiz uygulandığından ve alternatif erişim yöntemlerine karşı da önlem alındığından emin olun. Bu tür hedefli saldırılar profesyonel ve kalıcı tehdit grupları tarafından yürütülüyor ve kurumlar için ciddi riskler taşıyor.
Microsoft’un gözlemlediği saldırılarda, tehdit aktörlerinin yerel SharePoint sunucularını ToolPane uç noktasına yapılan bir POST isteği yoluyla sömürdüğü ve bu sayede kimlik doğrulama atlatması (authentication bypass) ile uzaktan kod yürütme (remote code execution) gerçekleştirdiği tespit edildi.
Diğer siber güvenlik firmaları tarafından açıklananlara göre, bu saldırı zincirleri sonunda “spinstall0.aspx” adlı bir web shell (diğer bilinen adları: spinstall.aspx, spinstall1.aspx, spinstall2.aspx) sunucuya yerleştiriliyor. Bu kötü amaçlı dosya, saldırganlara sistemdeki MachineKey verilerini çekme ve çalma imkânı sağlıyor.
🔍 Siber güvenlik araştırmacısı Rakesh Krishnan, bir SharePoint istismarına yönelik adli analiz sırasında “üç farklı Microsoft Edge işleminin” tespit edildiğini belirtiyor:
Network Utility Process
Crashpad Handler
GPU Process
Krishnan’a göre bu işlemlerin her biri Chromium mimarisinde özgün bir işlev görse de, birlikte kullanıldığında davranış taklidi (behavioral mimicry) ve sandbox’tan kaçış (sandbox evasion) stratejisi ortaya koyuyor. Ayrıca, web shell’in Google’ın Client Update Protocol (CUP) protokolünü kullanarak zararlı trafiği güncelleme kontrollerine benzettiği belirtiliyor.
🔐 Riskleri Azaltmak İçin Önerilen Önlemler:
Microsoft, bu tehdide karşı korunmak amacıyla aşağıdaki adımların acilen uygulanmasını öneriyor:
SharePoint Server Subscription Edition, SharePoint Server 2019 ve 2016 için en son güncellemelerin yüklenmesi
ASP.NET MachineKey anahtarlarının döndürülmesi
IIS (Internet Information Services) hizmetinin yeniden başlatılması
Microsoft Defender for Endpoint veya muadili bir çözümün kurulması
Tüm yerel SharePoint dağıtımları için:
AMSI (Antimalware Scan Interface) entegrasyonu ve tam modda etkinleştirilmesi
Microsoft Defender Antivirus ya da eşdeğer antivirüs çözümünün devreye alınması
📢 Microsoft’un açıklamasına göre, bu açıkları başka tehdit aktörleri de istismar edebilir. Bu nedenle kurumların zaman kaybetmeden güncelleme ve koruma önlemlerini uygulaması gerekmektedir.
🕵️♂️ Çin Bağlantısı ve Önceki Saldırılar:
Bu olay, Microsoft’un Çin bağlantılı hackerlarla ilişkilendirdiği en son kampanya olmakla birlikte, Windows üreticisine karşı gerçekleştirilen ikinci büyük saldırı olarak kayda geçti.
📌 Mart 2021’de, “Silk Typhoon” (diğer adıyla Hafnium) adlı Çin destekli grup, Exchange Server üzerindeki birden fazla sıfırıncı gün (zero-day) açığı hedef alarak büyük çaplı bir istismar kampanyası yürütmüştü.
🧑⚖️ Ayrıca bu ayın başlarında, 33 yaşındaki Çinli Xu Zewei İtalya’da tutuklandı. Zewei, Microsoft Exchange sunucularındaki ProxyLogon açıklarını silah haline getirerek ABD kurumlarına ve devlet kuruluşlarına siber saldırılar düzenlemekle suçlanıyor.
