Yönetici Özeti

19 Temmuz 2025'te Microsoft, on-premise SharePoint sunucularını etkileyen kritik bir uzaktan kod çalıştırma zafiyeti için acil bir danışmanlık yayınladı: CVE-2025-53770. CVSS skoru 9.8 ve halihazırda devam eden aktif zero-day istismarıyla bu zafiyet, yakın geçmişteki en ciddi SharePoint güvenlik olaylarından birini temsil ediyor.

Zafiyet, ToolPane.aspx uç noktasındaki güvenilmeyen verilerin hatalı deserializasyonundan kaynaklanıyor. CVE-2025-53771'deki kimlik doğrulama atlatmasıyla birleştirildiğinde, saldırganlar kimlik doğrulamasız uzaktan kod çalıştırabilir—herhangi bir kurumsal uygulama için en kötü senaryo. Proof-of-concept'in kamuya açılmasından 72 saat içinde, dünya genelinde kuruluşları hedef alan toplu istismar kampanyaları başladı.

CVE-2025-53770'i özellikle tehlikeli yapan şey, istismar sonrası kalıcılık etkisi. Saldırganlar sadece kod çalıştırmıyor; sunucunun kriptografik MachineKey yapılandırmasını çalarak yamalama sonrasında bile kalıcı erişim sağlıyor. Kuruluşlar sadece yamaları uygulamakla kalmamalı, aynı zamanda kriptografik anahtarları döndürmeli ve kapsamlı bir güvenlik ihlali değerlendirmesi yapmalı.

Önemli Bulgular

9.8
CVSS Skoru

Kritik önem derecesi

72 saat
PoC'den İstismara

Açıklamadan toplu saldırılara

300K
Saldırı Girişimi

Günlük tepe değer

$100K
Pwn2Own Ödülü

Orijinal keşif ödülü

Etkilenen Sistemler ve Yamalar

CVE-2025-53770, tüm on-premise SharePoint Server kurulumlarını etkiler. Microsoft 365'teki SharePoint Online etkilenmez. Microsoft, zafiyeti gidermek için yamalar yayınladı—kuruluşlar bunları derhal uygulamalıdır.

ÜrünDüzeltilmiş SürümKB MakalesiDurum
SharePoint Server Subscription Edition16.0.18526.20508KB5002768Yama Mevcut
SharePoint Server 201916.0.10417.20037KB5002754Yama Mevcut
SharePoint Enterprise Server 201616.0.5513.1001KB5002760Yama Mevcut
SharePoint Online (Microsoft 365)N/AN/AEtkilenmez

ToolShell Saldırı Zinciri

1

Kimlik Doğrulama Atlatma (CVE-2025-53771)

Saldırganlar, /_layouts/SignOut.aspx'e işaret eden manipüle edilmiş bir Referer başlığıyla /_layouts/15/ToolPane.aspx'e POST istekleri gönderir. Bu, SharePoint'i isteğin güvenilir olduğuna inandırır ve kimlik doğrulama kontrollerini tamamen atlar.

2

Uzaktan Kod Çalıştırma (CVE-2025-53770)

Kimlik doğrulama atlatıldıktan sonra, saldırganlar POST istek gövdesinde kötü amaçlı serileştirilmiş yükler gönderir. Savunmasız deserializasyon işlemi, gömülü PowerShell komutlarını sunucu tarafında çalıştırarak rastgele kod çalıştırmayı mümkün kılar.

3

Anahtar Hırsızlığı ile Kalıcılık

Saldırganlar bir web shell (spinstall0.aspx) dağıtır ve MachineKey yapılandırmasından sunucunun ValidationKey ve DecryptionKey değerlerini çıkarır. Bu kriptografik sırlar, süresiz olarak kimlik doğrulama belirteçleri ve ViewState yükleri oluşturmayı mümkün kılar.

İstismar Zaman Çizelgesi

Teknik Analiz

CVE-2025-53770'in temel nedeni, SharePoint'in ToolPane.aspx uç noktasındaki serileştirilmiş verileri işleme biçiminde yatıyor. SharePoint'in web parçası yönetim işlevselliği için tasarlanmış bu bileşen, yeterli doğrulama olmadan serileştirilmiş nesneleri kabul ediyor. CVE-2025-53771'deki kimlik doğrulama atlatmasıyla birleştirildiğinde, saldırı yüzeyi kimliği doğrulanmamış uzak saldırganlara genişliyor.

Kimlik doğrulama atlatma, SharePoint'in HTTP Referer başlığını işleme biçimindeki bir mantık hatasını istismar ediyor. Bu başlığı /_layouts/SignOut.aspx olarak ayarlayarak, saldırganlar çıkış işlemleri için tasarlanmış ve isteğe güven veren bir kod yolunu tetikliyor. Bu, temel bir mimari zayıflığı temsil ediyor—kimlik doğrulama kararları asla istemci tarafından sağlanan başlıklara dayanmamalı.

Bu zafiyeti ciddiden felaket düzeyine çıkaran şey, istismar sonrası kalıcılık mekanizması. Çıkarılan MachineKey değerleri (ValidationKey ve DecryptionKey), ViewState ve kimlik doğrulama belirteçlerini korumak için kullanılan simetrik kriptografik anahtarlardır. Bu anahtarlarla saldırganlar, zafiyet yamalansa ve web shell kaldırılsa bile bağımsız olarak geçerli kimlik doğrulama bilgileri oluşturabilir.

Güvenlik İhlali Göstergeleri (IOC)

Kötü Amaçlı IP Adresleri

107.191.58.76, 104.238.159.149, 96.9.125.147 — ilk istismar dalgalarında gözlemlendi. Çevrede engelleyin ve geçmiş bağlantıları araştırın.

Web Shell Artifaktı

spinstall0.aspx, \TEMPLATE\LAYOUTS\ dizinine dağıtıldı. SHA256: 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514

Hedef Uç Nokta

/_layouts/15/ToolPane.aspx veya /_layouts/ToolPane.aspx'e Referer başlığında SignOut.aspx ile POST istekleri istismar girişimlerini gösterir.

User-Agent Dizesi

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0 — gözlemlenen saldırılarda kullanıldı, ancak kolayca değiştirilebilir.

İlgili Zafiyetler

Pwn2Own Berlin 2025'te keşfedilen ve gösterilen orijinal deserialization zafiyeti. Microsoft bunu 8 Temmuz 2025'te yamaladı, ancak CVE-2025-53770 bu ilk düzeltmelerin bir atlatmasını temsil ediyor.

ToolShell zincirinin orijinal kimlik doğrulama atlatma bileşeni. CVE-2025-49704 ile birlikte 8 Temmuz 2025'te yamalandı, ancak sonraki istismarlarda da atlatıldı.

CVE-2025-53770 ile birlikte istismar edilen kimlik doğrulama atlatma bileşeni. Kimlik doğrulamayı atlamak için Referer başlığı manipülasyonunu kullanır. 19 Temmuz 2025 acil güncellemesinde yamalandı.

Önleme Stratejileri

1

Güvenlik Güncellemelerini Derhal Uygulayın

KB5002768 (Subscription Edition), KB5002754 (2019) veya KB5002760 (2016) yamalarını gecikmeden yükleyin. Bu yamalar hem deserialization hatasını hem de kimlik doğrulama atlatmasını giderir.

2

Güvenlik İhlali Değerlendirmesi Yapın

LAYOUTS dizininde spinstall0.aspx veya diğer anormal ASPX dosyalarını arayın. Şüpheli Referer başlıklarıyla ToolPane.aspx'e POST istekleri için IIS günlüklerini inceleyin.

3

Kriptografik Anahtarları Döndürün

Güvenlik ihlali şüpheleniyorsa veya doğrulanmışsa, MachineKey yapılandırmasını (ValidationKey ve DecryptionKey) döndürün. Bu adım olmadan saldırganlar kimlik bilgilerini oluşturma yeteneğini korur.

4

AMSI Entegrasyonunu Etkinleştirin

Microsoft, deserializasyon sırasında kötü amaçlı yükleri tespit etmek için SharePoint'te AMSI (Antimalware Scan Interface) entegrasyonunu etkinleştirmeyi önerir.

5

Uç Nokta Koruması Dağıtın

Tüm SharePoint sunucularına Microsoft Defender veya eşdeğer AV'nin gerçek zamanlı koruma etkin olarak dağıtıldığından emin olun. spinstall0.aspx için tespit imzaları mevcuttur.

6

WAF Koruması Uygulayın

ToolPane.aspx'i hedefleyen istismar girişimlerini tespit etmek ve engellemek için web uygulama güvenlik duvarı kuralları dağıtın. Şüpheli Referer başlıklarına sahip istekleri filtreleyin.

7

Harici Erişimi Kısıtlayın

Harici SharePoint erişimi iş açısından kritik değilse, /_layouts/ uç noktalarını güvenlik duvarı kuralları veya ters proxy yapılandırması kullanarak yalnızca dahili ağlara kısıtlayın.

72 Saatlik Pencere: Kurumsal Güvenlik İçin Dersler

CVE-2025-53770, zafiyet yaşam döngüsünün sıkışmasını gösteriyor. Kamuya açık PoC'den toplu istismara 72 saat, geleneksel yama döngüleri için yer bırakmıyor. Kuruluşlar: (1) gerçek zamanlı zafiyet istihbaratı sürdürmeli, (2) önceden yetkilendirilmiş acil yamalama prosedürlerine sahip olmalı, (3) yamalama sırasında WAF gibi telafi edici kontroller dağıtmalı ve (4) ihlali varsayarak güvenlik ihlali değerlendirmesine hazır olmalı. Bu zafiyetin yama-atlatma doğası, ilk yamaların yetersiz olabileceğini de vurgular—aynı bileşeni etkileyen yeni CVE'ler için sürekli izleme gereklidir.

TR7 SharePoint İstismarına Karşı Nasıl Korur

WAF Deserialization Kuralları

TR7'nin Web Application Firewall'u, SharePoint uç noktalarını hedefleyen deserialization saldırı kalıplarını tespit etmek ve engellemek için kurallar içerir.

Başlık Manipülasyonu Tespiti

Gelişmiş istek incelemesi, kimlik doğrulama atlatma saldırılarında kullanılan Referer başlığı manipülasyonu dahil şüpheli başlık kombinasyonlarını tanımlar.

Erişim Kontrol Politikaları

Ayrıntılı erişim kontrol kuralları, /_layouts/ gibi hassas yönetim uç noktalarına erişimi yalnızca yetkili ağlara kısıtlayabilir.

Gerçek Zamanlı Tehdit Analitiği

İstismar girişimleri için sürekli izleme ve uyarı. Altyapınız genelinde saldırı kalıplarını ve IOC'leri tanımlayın.

Kapsamlı Günlükleme

Detaylı istek günlükleme, adli analiz ve güvenlik ihlali değerlendirmesi sağlar. Saldırı girişimlerini IOC istihbaratıyla ilişkilendirin.

Otomatik Tehdit Yanıtı

Bilinen kötü amaçlı IP'lerin ve saldırı kalıplarının otomatik olarak engellenmesi. Önleme süresini saatlerden saniyelere düşürün.

Referanslar ve Kaynaklar

CVE-2025-53770 istismarının IOC'ler, saldırı zaman çizelgesi ve tespit rehberliği dahil kapsamlı teknik analizi. https://www.rapid7.com/blog/post/etr-zero-day-exploitation-of-microsoft-sharepoint-servers-cve-2025-53770/

CVE-2025-53770 için yama bilgileri ve önerilen önlemler dahil resmi Microsoft müşteri rehberliği. https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

Cloudflare'ın acil WAF kuralları ve gözlemlenen saldırı hacmi (tepe noktasında 300K girişim) hakkında detaylar. https://blog.cloudflare.com/cloudflare-protects-against-critical-sharepoint-vulnerability-cve-2025-53770/

ToolShell exploit zincirinin güvenlik ekibi analizi ve güvenlik ekipleri için öneriler. https://blog.checkpoint.com/research/sharepoint-zero-day-cve-2025-53770-actively-exploited-what-security-teams-need-to-know/

CVSS skorlaması ve teknik detaylarla resmi Ulusal Zafiyet Veritabanı girişi. https://nvd.nist.gov/vuln/detail/CVE-2025-53770

CVE-2025-53770 ve CVE-2025-53771 hakkında tespit stratejileri dahil bulut güvenliği perspektifi. https://www.wiz.io/blog/sharepoint-vulnerabilities-cve-2025-53770-cve-2025-53771-everything-you-need-to-k

SharePoint Altyapınızı Koruyun

CVE-2025-53770, zero-day istismar pencerelerinin haftalara değil günlere sıkıştığını gösteriyor. TR7'nin entegre güvenlik platformu, kurumsal uygulamaları hedefleyen ortaya çıkan tehditlere karşı derinlemesine savunma sağlar.

WAF Korumasını Keşfedin