Sıfır-gün açığı, devlet kurumları ve binlerce şirketi tehlikeye attı
Hacker’lar, Microsoft’un SharePoint yazılımındaki güvenlik açıklarını kullanarak, küresel ölçekte şirketler ve kamu kurumları tarafından kullanılan on binlerce fiziksel sunucuyu riske soktu. Microsoft, “aktif saldırıların” farkında olduğunu ve sıfır gün açığına karşı bir yama üzerinde çalıştığını cumartesi günü yaptığı duyuruyla açıkladı.
Siber güvenlik firması Eye Security, 18 Temmuz’da SharePoint’in belirli şirket içi sürümlerini etkileyen bu açığı keşfetti. Bu açık sayesinde hacker’lar, sunucular yeniden başlatılsa veya yama uygulansa bile kullanıcı ya da servis kimliğine bürünmeye yarayan anahtarları çalabiliyor. Bu da halihazırda ele geçirilmiş sunucuların hala tehdit oluşturabileceği anlamına geliyor. Ancak bulut tabanlı SharePoint sürümleri bu açıktan etkilenmiyor.
Hacker’lar, bu sıfır gün açığını kullanarak hassas verileri çalabiliyor, şifreleri toplayabiliyor ve Outlook, Teams ve OneDrive gibi SharePoint’e bağlı hizmetler üzerinden ağ içinde yatay hareket edebiliyor. Açığın, Mayıs ayında düzenlenen Pwn2Own hack yarışmasında sunulan iki ayrı hatanın birleşiminden kaynaklandığı düşünülüyor. Bu açıklar, kimliği doğrulanmamış kullanıcıların SharePoint sunucularına erişim sağlamasına imkân tanıyor.
Microsoft, SharePoint 2019 ve SharePoint Abonelik Sürümü (Subscription Edition) için “tam koruma sağlayan” yamaları yayınladı. Şirket, SharePoint 2016 için de aktif şekilde bir güvenlik yaması geliştiriyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), saldırıların kapsamı ve etkisinin hâlâ değerlendirildiğini açıkladı. CISA, açığın etkilediği sunucuların internet bağlantısının kesilmesini öneriyor. Washington Post’un devlet yetkilileri ve özel araştırmacılara dayandırdığı haberine göre, bu açık ABD’deki federal ve eyalet kurumlarına, üniversitelere, enerji şirketlerine ve bir Asya telekomünikasyon firmasına yönelik saldırılarda kullanıldı.
