Microsoft SharePoint Güvenlik Açığı: Çinli Hacker Grupları Yüzlerce Şirketi Hedefliyor
Teknoloji devi Microsoft, Çin merkezli ve aralarında devlet destekli grupların da bulunduğu bilgisayar korsanlarının, yaygın olarak kullanılan SharePoint yazılımındaki kritik güvenlik açıklarından faydalandığını duyurdu. Saldırganların, bu platformu kullanan yüzlerce işletmenin hassas verilerini ele geçirmeyi amaçladığı belirtiliyor.
Microsoft tarafından yapılan açıklamaya göre, Linen Typhoon ve Violet Typhoon gibi Çin devlet destekli grupların yanı sıra, Çin merkezli olduğu değerlendirilen Storm-2603 adlı bir grup daha saldırılardan sorumlu tutuluyor. Bu grupların, şirketlerin kendi sunucularında barındırdığı (on-premise) SharePoint platformlarını hedef alarak yeni keşfedilen zafiyetleri kullandığı vurgulandı. Şirketin bulut tabanlı SharePoint hizmetinin ise bu saldırılardan etkilenmediği açıklandı.
Saldırının Boyutu ve Etkileri
İlk olarak Hollanda merkezli siber güvenlik firması Eye Security tarafından 7 Temmuz’da tespit edilen saldırılarda, başlangıçta 100 olarak bildirilen hedef sayısının 400 kuruluşa ulaştığı güncellendi. SharePoint, birçok büyük kuruluş tarafından belge depolama, işbirliği ve diğer Microsoft servisleriyle entegrasyon için kullanılıyor.
Eye Security, “SharePoint genellikle Outlook, Teams ve OneDrive gibi temel hizmetlere bağlandığından, bir ihlal hızla veri hırsızlığına, parola ele geçirmeye ve ağ genelinde yatay hareketlere yol açabilir. Bu, hızla gelişen, hedefli bir saldırıdır. Yama uygulanmamış SharePoint sunucularına sahip kuruluşlar düzeltme beklememeli.” uyarısında bulundu.
Söz konusu güvenlik açıkları, saldırganların kimlik doğrulama bilgilerini taklit ederek sunucularda uzaktan kod çalıştırmasına ve sistemin “kriptografik anahtarlarını” çalarak tam erişim sağlamasına olanak tanıyor.
Küresel Siber Saldırıdan Korunma Yöntemleri
Microsoft ve diğer siber güvenlik otoriteleri, saldırılardan korunmak için bir dizi acil önlem tavsiye ediyor. İşte kurumların atması gereken adımlar:
Microsoft’un Tavsiyeleri
- En son güvenlik güncellemelerini derhal yükleyin.
- Antimalware Tarama Arayüzü’nün (Antimalware Scan Interface – AMSI) etkin ve doğru yapılandırıldığından emin olun.
- Yama uygulanmamış sistemlerin hedef alınmaya devam edeceği konusunda hazırlıklı olun.
ABD Siber Güvenlik Ajansı’nın Önerileri
- Saldırı riskini azaltmak için Antivirüs Tarama Arayüzü’nü yapılandırın.
- Microsoft Defender Antivirus programını etkinleştirin.
- Saldırganların hedef aldığı ASP.NET makine anahtarlarını, güvenlik yamasını uygulamadan önce ve sonra mutlaka değiştirin (döndürün).
Eye Security’nin Acil Durum Planı
- Saldırıya uğradığınızı düşünüyorsanız etkilenen SharePoint sunucularını hemen kapatın.
- İfşa olmuş olabilecek tüm kimlik bilgilerini ve sistem parolalarını değiştirin.
- Profesyonel bir olay müdahale ekibi veya güvenilir bir siber güvenlik firmasıyla iletişime geçin.
Saldırının Arkasındaki Hacker Grupları
Microsoft, saldırıyı gerçekleştiren gruplar hakkında da detaylı bilgi paylaştı:
- Linen Typhoon: 2012’den bu yana aktif olan bu grup, özellikle hükümet, savunma ve insan hakları kuruluşlarını hedef alarak fikri mülkiyet hırsızlığına odaklanıyor.
- Violet Typhoon: 2015’ten beri faaliyet gösteren bu grup ise ABD, Avrupa ve Doğu Asya’daki eski hükümet yetkilileri, sivil toplum kuruluşları, medya ve finans sektörlerini hedef alan casusluk faaliyetleri yürütüyor.
- Storm-2603: Microsoft, bu grubun Çin merkezli olduğundan “orta düzeyde emin” olduğunu ancak diğer Çinli gruplarla doğrudan bir bağlantı tespit etmediğini belirtti.
Uzmanlar, güvenlik güncellemeleri yapılmadığı takdirde başka siber suç gruplarının da bu açıkları kullanarak saldırılar düzenleyebileceği konusunda uyarıyor.