Çinli Hackerların Microsoft SharePoint Açığını Sömürmesi
Google ve Microsoft’un güvenlik araştırmacıları, Çin destekli hackerların Microsoft SharePoint’teki sıfır gün açığını kullandığını ve bunun sonucunda şirketlerin acil olarak düzeltme yapmak için harekete geçtiğini ortaya koydu.
Açığın Tehlikeleri ve Etkisi
Açık, resmi olarak CVE-2025-53770 olarak biliniyor ve geçtiğimiz hafta sonu keşfedildi. Bu hata, hackerların özel anahtarları çalmalarına olanak tanıyor. SharePoint, şirketler ve organizasyonlar tarafından iç belgeleri depolamak ve paylaşmak için yaygın olarak kullanılan bir yazılım sunucusudur. Sömürüldüğünde, bir saldırgan bu açığı kullanarak uzaktan kötü amaçlı yazılım yerleştirebilir ve depolanan dosyalara ve verilere erişebilir.
Microsoft’un Tespitleri
Microsoft, bir blog yazısında haftanın başında, “Linen Typhoon” ve “Violet Typhoon” adını taşıyan iki Çin destekli hacker grubunun bu SharePoint sıfır gününü kullandığını bildirdi. Microsoft’a göre, Linen Typhoon, fikri mülkiyeti çalmaya odaklanırken, Violet Typhoon ise casusluk için özel bilgileri çalmakta.
Microsoft, ayrıca daha az bilgiye sahip olduğu için “Storm-2603” olarak adlandırdığı üçüncü bir Çin destekli hacker grubunun da saldırıları gerçekleştirdiğini belirtti. Bu gruba ait hackerların daha önce siber fidye saldırıları ile ilişkilendirildiği ifade ediliyor.
Microsoft’un verdiği bilgiye göre, bu üç hacker grubu, sıfır gün açığını kullanarak, savunmasız SharePoint sunucularına 7 Temmuz’dan itibaren saldırmaya başladı.
Açığın Kapsamı ve Yaklaşımlar
Google’ın olay müdahale biriminin teknik sorumlusü Charles Carmakal, TechCrunch’a yaptığı açıklamada, “Bu açığı sorumlu olanlar arasında en az bir grubun Çin bağlantılı olduğunu” söyledi ve “Bu açığın suistimali için şu anda birden fazla aktör aktif olarak çalışmakta” diye ekledi.
Onlarca organizasyon zaten saldırıya uğradı ve bunun arasında devlet sektörü de yer alıyor. Bu hata, satıcı — bu durumda Microsoft — tarafından aktif olarak kötüye kullanılmadan önce bir yamanın yayınlanması için yeterli zaman olmadığından sıfır gün olarak kabul ediliyor. Microsoft, tüm etkilenen SharePoint sürümleri için yamalar yayınladı, ancak güvenlik araştırmacıları, kendi sunucularını barındıran müşterilerin zaten kompromize olmuş sayılması gerektiğini vurguladı.
Çin Hükümetinin Cevabı
Çin hükümeti, uzun bir süre boyunca siber saldırılar gerçekleştirdiği iddialarını reddetti, ancak her zaman açıkça katılımını yalanlamadı. Washington D.C.’deki Çin Büyükelçiliği sözcüsü Liu Pengyu, ulaşıldığında yaptığı açıklamada, Çin’in “tüm siber saldırılara ve siber suçlara karşı sıkı bir şekilde karşı çıktığını” belirtti.
Son yıllarda Çin ile bağlantılı en son siber saldırı kampanyası bu. Çin destekli hackerların, 2021 yılında kendine ait Microsoft Exchange e-posta sunucularını hedef aldığı ve Hafnium adı verilen bu kampanyanın 60,000’den fazla sunucunun iletişim bilgilerini ve özel postalarını tehlikeye attığı iddia ediliyor. Adalet Bakanlığı’nın yakın zamanda gerçekleştirdiği bir iddianamede, iki Çinli hackerın bu ihlalleri yaptıkları suçlaması bulunuyor.
Güncellendi: Çin hükümetinin yorumu ile.
