Microsoft, dünya genelinde “ToolShell” saldırılarıyla kötüye kullanılan ve hizmetleri sekteye uğratan iki sıfır gün güvenlik açığı olan CVE-2025-53770 ve CVE-2025-53771 için acil SharePoint güvenlik güncellemeleri yayınladı. Bu güvenlik açıkları, başta siber güvenlik araştırmacılarının Berlin’deki Pwn2Own hack yarışmasında “ToolShell” adını verdikleri bir sıfır gün güvenlik açığı zinciri üzerinden SharePoint’te uzaktan kod çalıştırmayı başarmasıyla ortaya çıktı.
Bu güvenlik açıkları başlangıçta Temmuz Ayı Yama Salı güncellemeleriyle giderilmiş olsa da, siber saldırganlar Microsoft’un önceki yamalarını atlayan iki sıfır gün güvenlik açığını keşfetti. Bu yeni keşfedilen güvenlik açıkları kullanılarak, dünya genelindeki SharePoint sunucularında “ToolShell” saldırıları düzenlendi ve şu ana kadar 54’ten fazla kuruluş etkilendi.
Microsoft, bu duruma yanıt olarak Microsoft SharePoint Subscription Edition ve SharePoint 2019 için hem CVE-2025-53770 hem de CVE-2025-53771 açıklarını düzelten acil dışı güvenlik güncellemelerini hızla yayınladı. SharePoint 2016 için yamalar üzerinde ise hala çalışılıyor ve henüz kullanıma sunulmuş değil.
Microsoft, SharePoint yöneticilerine, sürümlerine bağlı olarak aşağıdaki güvenlik güncellemelerini derhal yüklemelerini tavsiye ediyor:
- Microsoft SharePoint Server 2019 için KB5002754 güncellemesi.
- Microsoft SharePoint Subscription Edition için KB5002768 güncellemesi.
- Microsoft SharePoint Enterprise Server 2016 için güncelleme henüz yayınlanmadı.
Güncellemelerin yüklenmesinin ardından, Microsoft yöneticilere SharePoint makine anahtarlarını döndürmelerini şiddetle tavsiye ediyor. Bu işlem, PowerShell üzerinden “Update-SPMachineKey” cmdlet’i kullanılarak veya Merkezi Yönetim (Central Admin) sitesindeki “Makine Anahtarı Döndürme İşi” (Machine Key Rotation Job) tetiklenerek manuel olarak yapılabilir. Anahtar döndürme tamamlandıktan sonra, tüm SharePoint sunucularında IIS’in “iisreset.exe” komutuyla yeniden başlatılması gerekmektedir.
Ayrıca, yöneticilerin kötü niyetli dosyaların veya istismar girişimlerinin varlığına karşı günlüklerini ve dosya sistemlerini analiz etmeleri öneriliyor. Bu analiz, özellikle “C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx” dosyasının oluşturulmasını ve belirli POST isteklerini gösteren IIS günlüklerini incelemeyi içermelidir. Microsoft, “spinstall0.aspx” dosyasının sunucuda oluşturulup oluşturulmadığını kontrol etmek için bir Microsoft 365 Defender sorgusu da paylaştı. Eğer bu dosya bulunursa, ihlal edilen sunucu ve ağ üzerinde tam bir inceleme yapılması ve tehdit aktörlerinin diğer cihazlara yayılmadığından emin olunması tavsiye ediliyor.
