Kaspersky Küresel Araştırma ve Tahlil Takımı (GReAT), Microsoft SharePoint’te yakın vakitte ortaya çıkan ToolShell güvenlik açıklarının, 2020’de bildirilen CVE-2020-1147 için tamamlanmamış bir düzeltmeden kaynaklandığını keşfetti.
SharePoint güvenlik açıkları, bu yıl etkin istismar nedeniyle değerli bir siber güvenlik tehdidi olarak yine ortaya çıktı. Kaspersky Security Network, Mısır, Ürdün, Rusya, Vietnam ve Zambiya dahil olmak üzere dünya çapında istismar teşebbüsleri olduğuna işaret ediyor. Taarruzlar devlet, finans, üretim, ormancılık ve tarım dallarındaki kuruluşları gaye alıyor. Kaspersky tahlilleri, güvenlik açıkları kamuoyuyla paylaşılmadan evvel ToolShell akınlarını proaktif olarak tespit etti ve engelledi.
Kaspersky GReAT araştırmacıları, yayınlanan ToolShell açığını tahlil ettiğinde 2020 CVE-2020-1147 açığına telaş verici derecede benzediğini tespit etti. Bu durum, CVE-2025-53770 yamasının aslında CVE-2020-1147’nin beş yıl evvel ele almaya çalıştığı güvenlik açığı için tesirli bir düzeltme olduğunu gösteriyor.
CVE-2020-1147 bağlantısı, 8 Temmuz’da yamalanan CVE-2025-49704 ve CVE-2025-49706’nın keşfedilmesinin akabinde besbelli hale geldi. Lakin bu düzeltmeler, akın yüküne tek bir ileri eğik çizgi eklenerek atlanabiliyordu. Microsoft bu güvenlik açıklarının etkin olarak kullanıldığını öğrendikten sonra, potansiyel baypas metotlarını ele alan kapsamlı yamalarla cevap verdi ve güvenlik açıklarını CVE-2025-53770 ve CVE-2025-53771 olarak isimlendirdi. Dünya genelinde SharePoint sunucularına yönelik ataklardaki artış, birinci istismar ile tam yama dağıtımı ortasındaki vakit aralığında meydana geldi.
Kaspersky, ToolShell açıkları için yamalar mevcut olmasına karşın, saldırganların bu zincirden yıllarca yararlanmaya devam edeceğini düşünüyor.
Kaspersky GReAT Güvenlik Araştırmacısı Boris Larin, şunları söylüyor: “Birçok yüksek profilli güvenlik açığı keşfedildikten yıllar sonra faal olarak kullanılmaya devam ediyor. ProxyLogon, PrintNightmare ve EternalBlue bugün hala yamalanmamış sistemleri tehlikeye atıyor. ToolShell’in de tıpkı yolu izlemesini bekliyoruz: Basitçe istismar edilmesi, genel istismarın yakında tanınan sızma testi araçlarında görüneceği ve saldırganlar tarafından uzun müddet kullanılacağı manasına geliyor.”
Kaspersky inançta kalmak için şunları öneriyor:
- Microsoft SharePoint kullanan kuruluşlar en son güvenlik yamalarını derhal uygulamalı. Kısa vadeli maruz kalma bile tehlikeye yol açabileceğinden, bu durum tüm yüksek riskli güvenlik açıkları için geçerli.
- Yamalar şimdi mevcut olmadığında bile sıfırıncı gün açıklarına karşı muhafaza sağlayan siber güvenlik tahlilleri kullanın. Kaspersky Next, Davranış Algılama bileşeniyle bu çeşit güvenlik açıklarından yararlanılmasını proaktif olarak engeller.
Kaynak: (BYZHA) Beyaz Haber Ajansı