Merih KARAAĞAÇ
Merih, 5 yıldır teknoloji alanında editörlük yapıyor. Bilim, yapay zeka, donanim ve mobil teknolojiler konusundaki yazıları düzenliyor. Bilim ve yapay zeka konularında uzmanlaşmış.
Bilgisayar korsanları, 7 Temmuz'dan bu yana SharePoint açığını istismar ederek sistemlere sızıyor
Check Point Research tarafından ortaya çıkarılan yeni bulgular, dünya genelindeki birçok kurum için ciddi bir siber tehdit durumuna işaret ediyor. Microsoft’un kurumsal veri ve işbirliği platformu SharePoint’te bulunan sıfır gün açığı (CVE-2025-53770), 7 Temmuz 2025’ten bu yana aktif olarak kötü niyetli aktörler tarafından kullanılmakta. Saldırganlar bu güvenlik açığını kullanarak sistemlere yetkisiz erişim sağlıyor, kriptografik anahtarları çalıyor ve kalıcı kontrol elde ediyor. Özellikle Batı Avrupa ve Kuzey Amerika’daki hükümet kurumları, telekomünikasyon ve yazılım şirketleri bu saldırıların doğrudan hedefinde bulunuyor. 18 ve 19 Temmuz tarihlerinde saldırı yoğunluğu ciddi şekilde artarken, Check Point bu tehditlerin karmaşık ve organize bir kampanya dahilinde yürütüldüğünü belirtiyor.
Kapsamlı saldırı kampanyasının arkasındaki aktörler, SharePoint Server üzerindeki uzaktan kod yürütme zafiyeti (CVE-2025-53770) ile birlikte kimlik sahtekarlığı açığı (CVE-2025-49706) üzerinden ilk erişimi sağlıyor. Erişimin ardından, sistemde kalıcılık elde etmek için ayrıcalık yükseltme teknikleri kullanılıyor. Bu saldırılar yalnızca sistemlerin kontrolünü ele geçirmekle kalmıyor, aynı zamanda iç ağlardaki hassas verilere de erişilmesini sağlıyor. Check Point, saldırıların üç farklı IP adresinden (104.238.159[.]149, 107.191.58[.]76 ve 96.9.125[.]147) geldiğini, bunlardan birinin daha önce Ivanti EPMM güvenlik açıklarının kötüye kullanılmasında rol oynadığını vurguluyor.
Bu tür bir sıfır gün saldırısı, yazılım sağlayıcısı tarafından herhangi bir yama sunulmadan önce güvenlik açığının saldırganlar tarafından aktif biçimde kullanılması anlamına gelir. Bu da dünya çapındaki kuruluşların büyük bir kısmının tehditten habersiz olduğu veya korunmasız olduğu anlamına gelir. CVE-2025-53770 kodlu uzaktan kod yürütme açığı, SharePoint sistemleri üzerinden doğrudan komut çalıştırılmasına izin veriyor. Bu durum, saldırganların sisteme müdahale etmesini, verileri sızdırmasını ve zararlı yazılım bulaştırmasını mümkün kılıyor. Yine aynı şekilde CVE-2025-49706 kodlu kimlik sahtekarlığı zafiyeti, oturum ele geçirme ve kullanıcı hesaplarının taklidi gibi riskleri beraberinde getiriyor.
Check Point Research’ün Tehdit İstihbaratı Direktörü Lotem Finkelstein, bu açığın vahşi doğada aktif biçimde kullanıldığını ve binlerce kuruluşun tehdit altında olduğunu söylüyor. Güvenlik ekiplerine, sistemlerini derhal Microsoft’un yayımladığı en son güvenlik yamaları ile güncellemeleri çağrısında bulunuyor. Saldırganlar, tespit edilmemek için ileri düzey iz silme yöntemlerine ve çok aşamalı saldırı zincirlerine başvuruyor. Bu da tehdidin yalnızca teknik açıdan değil, aynı zamanda operasyonel olarak da ne denli tehlikeli olduğunu gözler önüne seriyor.
E-posta adresiniz yayınlanmayacaktır. Zorunlu alanlar * ile işaretlenmiştir.