18 Temmuz 2025 tarihinde X platformunda Sharepoint’te daha önce ilan edilen CVE-2025-49706 + CVE-2025-49704 kimlik doğrulama zincirini istismar eden “ToolShell”in yeniden üretildiği ilan edildi. Bu uzaktan kod yürütme (RCE) zinciri, şirket içi SharePoint sunucularında tespit edildi.
Şekil 1 https://x.com/codewhitesec/status/1944743478350557232
CVE-2025-53770 (RCE) ve CVE-2025-53771 (kimlik doğrulama atlatma) – Microsoft, güvenlik açığının faaliyette olduğunu doğruladı. İlgili bağlantı adresi, https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
Yalnızca on-prem SharePoint 2016/2019/Subscription Edition; SharePoint Online etkilenmiyor.
SP 2019 ve Subscription Edition için yamalar yayımlandı; SP 2016 için çalışma sürüyor.
Saldırgan, sunucuya dosya yükleyip .NET MachineKey’lerini çalıyor; bu anahtarlarla imzalı VIEWSTATE yükleri üreterek tam RCE elde ediyor. Anahtarlar döndürülmedikçe yama tek başına yeterli değil.
| Tarih | Olay |
| 18 Tem 18:00 | İlk istismar dalgası ve 107.191.58[.]76 IP |
| 19 Tem 07:30 | İkinci dalga – 104.238.159[.]149 IP |
| 20 Tem | Microsoft & CISA resmî danışmanlıkları (Microsoft Security Response Center, CISA) |
| Kategori | Değer |
| Kaynak IP | 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147, 103.186.30[.]186 |
| User-Agent | Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0 (URL-encode edilmiş varyantı dâhil) |
| HTTP Yolu | POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx |
| Referer | /_layouts/SignOut.aspx |
| Zararlı Dosya | spinstall0.aspx – SHA256: 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 |
| Dosya Yolu | C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx |
Sunucuyu İzole Edin
İnternete açık SharePoint sunucularını VLAN/Firewall ile değil, fiziksel/VM düzeyinde izole edin.
Yamaları Uygulayın
MachineKey Döndürme
Web.config içindeki elemanlarını yeniden üretin; eski anahtarlarla oluşturulmuş tüm çerez ve token’ları geçersiz kılın.
IOC Avcılığı
Şifre & Sertifika Yenileme
Ortamda saklanan bağlantı dizeleri, hizmet hesapları ve SSL sertifikalarını rotasyon planına alın.
Olay Müdahalesi
Şüphe varsa derin adli analiz başlatın; TTP’ler sebebiyle salt antivirüs temizliği yeterli olmayacaktır.
Kuantum bilgisayarlar, klasik bilgisayarların ötesine geçen hesaplama yetenekleriyle, modern kriptografi altyapılarını tehdit eden yeni bir dönemi beraberinde getirmektedir.
Windows Event Forwarding, Windows tabanlı sistemlerde yerel olarak desteklenen günlük merkezileştirme özellikleri sağlar. Microsoft, sunucular üzerindeki logların tek bir yerde toplanması WEF mimarisi ile sağlamaktadır.
Veri Koruma Günü, her yıl 28 Ocak’ta, kişisel verilerin korunması ve veri gizliliği konusunda farkındalık yaratmak amacıyla belirlenmiş bir gündür.
USOM, Ulusal Siber Olaylara Müdahale Merkezi kelimelerinin kısaltmasıdır. USOM, 2013’de “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” 4.maddesi dahilinde BTK bünyesinde kurulmuştur.
