Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), Microsoft SharePoint’teki ToolShell güvenlik açıklarının, 2020’de bildirilen CVE-2020-1147 için eksik bir düzeltmeden kaynaklandığını tespit etti.
SharePoint güvenlik açıkları, bu yıl aktif istismar nedeniyle siber güvenlik tehdidi oluşturuyor. Kaspersky Security Network, Mısır, Ürdün, Rusya, Vietnam ve Zambiya dahil olmak üzere çeşitli ülkelerde istismar girişimleri olduğunu belirtiyor. Saldırılar devlet, finans, üretim, ormancılık ve tarım sektörlerindeki kuruluşları hedef alıyor. Kaspersky çözümleri, güvenlik açıkları kamuoyuyla paylaşılmadan önce ToolShell saldırılarını tespit edip engelledi.
Kaspersky GReAT araştırmacıları, ToolShell açığının 2020 CVE-2020-1147 açığına benzediğini ve CVE-2025-53770 yamasının aslında CVE-2020-1147’nin ele almaya çalıştığı güvenlik açığı için bir düzeltme olduğunu belirtiyor.
CVE-2020-1147 bağlantısı, 8 Temmuz’da yamalanan CVE-2025-49704 ve CVE-2025-49706’nın keşfedilmesinin ardından belirginleşti. Microsoft, bu güvenlik açıklarının aktif olarak kullanıldığını öğrendikten sonra, güvenlik açıklarını CVE-2025-53770 ve CVE-2025-53771 olarak isimlendirdi. SharePoint sunucularına yönelik saldırılardaki artış, ilk istismar ile tam yama dağıtımı arasındaki zaman aralığında meydana geldi.
Kaspersky GReAT Güvenlik Araştırmacısı Boris Larin, birçok güvenlik açığının keşfedildikten yıllar sonra aktif olarak kullanılmaya devam ettiğini ve ToolShell’in de aynı yolu izlemesini beklediklerini ifade ediyor.
Kaspersky, Microsoft SharePoint kullanan kuruluşların en son güvenlik yamalarını uygulaması gerektiğini belirtiyor. Ayrıca, yamalar henüz mevcut olmadığında bile sıfırıncı gün açıklarına karşı koruma sağlayan siber güvenlik çözümleri kullanılmasını öneriyor. Kaspersky Next’in Davranış Algılama bileşeniyle bu tür güvenlik açıklarından yararlanılmasını engellediği ifade ediliyor.
