Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), Microsoft SharePoint'te yakın zamanda ortaya çıkan ToolShell Güvenlik açıklarının, 2020'de bildirilen CVE-2020-1147 için tamamlanmamış bir düzeltmeden kaynaklandığını keşfetti.SharePoint güvenlik açıkları, bu yıl aktif istismar nedeniyle önemli bir siber güvenlik tehdidi olarak yeniden ortaya çıktı. Kaspersky Security Network, Mısır, Ürdün, Rusya, Vietnam ve Zambiya dahil olmak üzere dünya çapında istismar girişimleri olduğuna işaret ediyor. Saldırılar devlet, finans, üretim, ormancılık ve tarım sektörlerindeki kuruluşları hedef alıyor. Kaspersky çözümleri, Güvenlik Açıkları kamuoyuyla paylaşılmadan önce ToolShell saldırılarını proaktif olarak tespit etti ve engelledi.Kaspersky GReAT araştırmacıları, yayınlanan ToolShell açığını analiz ettiğinde 2020 CVE-2020-1147 açığına endişe verici derecede benzediğini tespit etti. Bu durum, CVE-2025-53770 yamasının aslında CVE-2020-1147'nin beş yıl önce ele almaya çalıştığı güvenlik açığı için etkili bir düzeltme olduğunu gösteriyor.CVE-2020-1147 bağlantısı, 8 Temmuz'da yamalanan CVE-2025-49704 ve CVE-2025-49706'nın keşfedilmesinin ardından belirgin hale geldi. Ancak bu düzeltmeler, saldırı yüküne tek bir ileri eğik çizgi eklenerek atlanabiliyordu. Microsoft bu güvenlik açıklarının aktif olarak kullanıldığını öğrendikten sonra, potansiyel baypas yöntemlerini ele alan kapsamlı yamalarla yanıt verdi ve güvenlik açıklarını CVE-2025-53770 ve CVE-2025-53771 olarak isimlendirdi. Dünya genelinde SharePoint sunucularına yönelik saldırılardaki artış, ilk istismar ile tam Yama dağıtımı arasındaki zaman aralığında meydana geldi.Kaspersky, ToolShell açıkları için yamalar mevcut olmasına rağmen, saldırganların bu zincirden yıllarca yararlanmaya devam edeceğini düşünüyor.Kaspersky GReAT Güvenlik Araştırmacısı Boris Larin, şunları söylüyor: "Birçok yüksek profilli güvenlik açığı keşfedildikten yıllar sonra aktif olarak kullanılmaya devam ediyor. ProxyLogon, PrintNightmare ve EternalBlue bugün hala yamalanmamış sistemleri tehlikeye atıyor. ToolShell'in de aynı yolu izlemesini bekliyoruz: Kolayca istismar edilmesi, genel istismarın yakında popüler sızma testi araçlarında görüneceği ve saldırganlar tarafından uzun süre kullanılacağı anlamına geliyor." Kaspersky güvende kalmak için şunları öneriyor:
- Microsoft SharePoint kullanan kuruluşlar en son güvenlik yamalarını derhal uygulamalı. Kısa süreli maruz kalma bile tehlikeye yol açabileceğinden, bu durum tüm yüksek riskli güvenlik açıkları için geçerli.
- Yamalar henüz mevcut olmadığında bile sıfırıncı gün açıklarına karşı koruma sağlayan siber güvenlik çözümleri kullanın. Kaspersky Next, Davranış Algılama bileşeniyle bu tür güvenlik açıklarından yararlanılmasını proaktif olarak engeller.
