Google ve Microsoft, Çinli Hackerların SharePoint Açığını Kullanıyor Olabileceğini Açıkladı

Google ve Microsoft’un güvenlik araştırmacıları, Çin destekli hackerların Microsoft SharePoint yazılımındaki bir sıfırıncı gün açığını istismar ettiğine dair kanıtlar bulduklarını açıkladı. Şirketler, dünya genelinde bu açığı kapatmak için çaba sarf ediyor.

Açık, resmi olarak CVE-2025-53770 olarak adlandırılmakta ve geçtiğimiz hafta sonu keşfedilmiştir. Bu açık, hackerların, şirketler ve organizasyonlar tarafından iç dokümanları depolamak ve paylaşmak için yaygın olarak kullanılan SharePoint’in kendi sunucularında hassas özel anahtarları çalmasına olanak tanımaktadır. İstismar edildiğinde, bir saldırgan bu açığı kullanarak uzaktan kötü amaçlı yazılım yerleştirip, depolanan dosyalara ve verilere erişim sağlayabilir ve aynı ağ üzerindeki diğer sistemlere de ulaşabilir.

Microsoft, Salı günü yaptığı bir blog yazısında, “Linen Typhoon” ve “Violet Typhoon” adını verdiği iki Çin destekli hacking grubunun SharePoint sıfırıncı gün açığını kullandığını gözlemlediğini belirtti. Microsoft, Linen Typhoon’un fikri mülkiyet çalmaya odaklandığını, Violet Typhoon’un ise casusluk amacıyla özel bilgileri çaldığını ifade etti.

Şirket, devam eden hackleri “Storm-2603” adı verilen üçüncü bir Çin destekli hacking grubuna da atfetti. Bu grubun hakkında daha az bilgiye sahip olduklarını belirtmekle birlikte, daha önce ransomware saldırılarıyla ilişkilendirildiği kaydedildi.

Microsoft’a göre, bu üç hacking grubu, 7 Temmuz itibarıyla savunmasız SharePoint sunucularına girmek için sıfırıncı gün açığını kullanırken gözlemlendi.

Google’ın olay müdahale birimi Mandiant’ın teknoloji sorumlusunun TechCrunch’a yaptığı açıklamada, “sorumlu olan aktörlerden en az birinin” Çin merkezli bir hacking grubu olduğunu belirtti, ancak “birden fazla aktörün bu açığı aktif olarak istismar ettiğini” vurguladı.

Bugüne kadar, birçok organizasyon hacklendi, bunlar arasında hükümet sektörü de yer almakta. Bu açık, Microsoft’un müdahale için zaman bulamadığı bir sıfırıncı gün olarak kabul edilmektedir. Microsoft, etkilenen tüm SharePoint sürümleri için yamalar yayımlamış olsa da, güvenlik araştırmacıları, kendi sunucularında SharePoint kullanan müşterilerin zaten tehdit altında olduğunu varsaymaları gerektiğini belirtti.

Çin hükümeti, uzun zamandır siber saldırılar gerçekleştirdiği iddialarını reddetmektedir, ancak katılımını her zaman açıkça yalanlamamıştır. Washington, D.C.’deki Çin Büyükelçiliği sözcüsü Liu Pengyu, yaptığı açıklamada, Çin’in “her türlü siber saldırıya ve siber suçla mücadele ettiğini” belirtti.

Son yıllarda Çin ile bağlantılı en son hacking kampanyası bu. 2021 yılında, Çin destekli hackerların, Microsoft Exchange e-posta sunucularını hedef aldığı iddia edilmişti. Adalet Bakanlığı’nın iki Çinli hackerı suçlayan bir iddianamesine göre, “Hafnium” hackleri, 60.000’den fazla etkilenen sunucudan iletişim bilgileri ve özel e-posta kutularını tehlikeye atmıştır.

Çin hükümetinin yorumu ile güncellendi.