Microsoft SharePoint'teki kritik bir güvenlik açığından yararlanılması, 2025'in en büyük siber olaylarından biriydi. Sıfır gün güvenlik açığı olarak adlandırılan, daha önce bilinmeyen bir güvenlik açığı, saldırganların şirketler, üniversiteler ve yetkililer de dahil olmak üzere dünya çapında yüzlerce kuruluşun güvenliğini aşmasına olanak tanıdı. Anlaşıldığı üzere, casusluk yapma fırsatından yararlananların Çin gizli servisleri olduğu ortaya çıktı.
Duyurudan sonra devamını okuyun
Saldırı dalgasını aralarından bir öğrenci fark etti: Hollandalı güvenlik analisti Ilse Versluis. Temmuz 2025'te bir Cuma akşamı, eğitiminin yanı sıra tamamladığı bir iş olan güvenlik hizmetleri sağlayıcısı Göz Güvenliği Güvenlik Operasyon Merkezi'nde nöbetçiydi. “Onlar Teknolojiden Bahsediyorlar” adlı podcast'te, Cuma akşamı neyi fark ettiğini, ilk izleri nasıl keşfettiğini ve ekibinin sonunda saldırıyı nasıl analiz edip dünyayı gerçek zamanlı olarak bilgilendirmeye çalıştığını ilk kez kamuoyuna açıklıyor. Aradaki fark zaten büyük ölçüde istismar edildiğinden her dakika önemliydi.
Ilse Versluis
(Resim: Göz Güvenliği)
Bu bölümde sunucular Eva Wolfangel ve Svea Eckert, Versluis ile birlikte şirket tarafından yönetilen bir SharePoint sunucusunda şüpheli bir PowerShell komutuyla ilgili bir uyarı mesajının alındığı kritik saatleri yeniden canlandırıyor.
Diğerleri gibi bir uyarı mesajı mı?
Başlangıçta uyarı mesajı çok benzer görünüyordu. Bir güvenlik operasyon merkezinde nöbet tutarken işin püf noktası, doğru zamanda dikkat etmektir. Ancak Versluis ilk tutarsızlıkları fark ettiğinde bile, Çin devlet korsanını o Cuma gecesi kanepede müşterilerinin ağlarında suçüstü yakaladığı hakkında hiçbir fikri yoktu. Podcast'te “Senaryo gizlenmişti” diyor ve “saldırganların genellikle yaptığı şey bu.”
Neler olup bittiğine daha yakından baktı ve senaryonun sözde araba anahtarlarını okumaya çalıştığını keşfetti. Bu şifreleme anahtarları web uygulamalarında kimlik doğrulamanın temelini oluşturur. Bunlara sahip olan herkes prensip olarak geçerli erişim tokenleri oluşturabilir. Versluis, “Bu, temelde sunucunun güveninin temelidir” diye açıklıyor. Ve bu, potansiyel olarak pek çok hassas ve gizli veri içeren bir Sharepoint sunucusunda! Hafta sonundan itibaren meslektaşlarını aradı.
Ve başka anormallikler de ortaya çıktı: Sunucu günlüklerinde şüpheli bir .aspx dosyası bulundu; bu dosya, görünüşe göre bir web kabuğu, yani saldırganların uzak komutları yürütebileceği bir arka kapı görevi görüyordu. İsteklerin HTTP başlıklarında daha da tuhaf bir ayrıntı vardı: SharePoint oturum kapatma sayfası kaynak sayfa olarak belirtildi. Yani oturumu yeni kapatmış biri aynı anda sunucuya dosya yazıyordu. Versluis, “Gerçekte bu mümkün olmamalı” diyor. Burada birisi kimlik doğrulamayı tamamen atladı.
Arkasında ne vardı
Duyurudan sonra devamını okuyun
Versluis, elbette sıfır gün güvenlik açığını beklemediğini söylüyor. Bu pek olası değildi; sonuçta önceden bilinmeyen bir güvenlik açığını her gün keşfedemezsiniz. Yalnızca birkaç saat sonra bunun güvenliği ihlal edilmiş tek bir sunucu olmadığı anlaşıldı.
Göz Güvenliği ekibi daha sonra dünya çapında savunmasız SharePoint sistemlerini aramaya başladı. Araştırmacılar internette 23.000'den fazla sunucu tespit etti ve dünya çapında 400'den fazla kuruluşun güvenliği ihlal edilmişti. Microsoft daha sonra kampanyayı devlet destekli Çinli bilgisayar korsanlığı gruplarına bağladı.
Podcast'te Wolfangel ve Eckert aynı zamanda Microsoft'un kendisindeki boşluğun ve olası başarısızlıkların teknik bağlamını da sınıflandırıyor. Mayıs 2025'te bir güvenlik araştırmacısı, Pwn2Own hacker konferansında SharePoint'te ilgili bir güvenlik açığını zaten göstermişti. Microsoft daha sonra bir yama yayınladı ancak görünüşe göre tamamlanmamıştı. Bu durum yalnızca güvenlik uzmanları tarafından değil, bazıları daha sonra sosyal ağlarda bu açığın hala istismar edilebileceği konusunda uyaran güvenlik uzmanları tarafından değil, aynı zamanda Çinli saldırganlar tarafından da keşfedildi.
Gerçeküstü bir deneyim
Halihazırda yamalı olan güvenlik açığını aramaya devam etme fikrine nasıl ulaştıkları veya hacker rekabetinden bilgi alıp almadıkları henüz belli değil. Vaka aynı zamanda siber güvenlik araştırmalarındaki temel bir ikilemi de vurguluyor: Güvenlik açıklarının kapatılabilmesi için kamuya açıklanması gerekiyor. Aynı zamanda yayınlanan ayrıntılar veya eksik yamalar, saldırganlara nerede daha fazla araştırmaya değer olabileceğine dair ipuçları verebilir.
Versluis geriye dönüp baktığında, “Onca insan arasında benim bir hükümetin siber saldırısını keşfetmem hâlâ gerçeküstü görünüyor” diyor. Sonunda, az çok şans eseri, uzun süre bu sektöre uygun olmadığını düşündükten sonra siber güvenlik sektörüne girdi. Ancak siber güvenlik çok farklı becerilere ihtiyaç duyulan bir alan. “Mutlaka sıkı bir hacker olmanıza gerek yok” diyor. En önemli şey analitik düşünme ve olayları birbirine bağlama yeteneğidir. Ve tabii ki merak. Çünkü saldırganlar sürekli yeni yöntemler geliştiriyorlar. “Öğrenmeyi asla bırakmıyorsun.”
Podcast'lerin satıldığı her yerde “Onlar Konuşuyor Teknoloji” her Çarşamba günü ortaya çıkıyor. Svea Eckert ve Eva Wolfangel bir teknoloji konusunu tartışıyor veya teknoloji dünyasından ve çevresinden ilham veren kadınlarla tanışıyor.
(ay)
Bir yanıt yazın