Microsoft SharePoint hack’i, ABD federal ve eyalet kurumları ile şirketler dahil dünyayı vurdu

 (washingtonpost.com)
6 puan yazan GN⁺ 2025-07-22 | 1 yorum | WhatsApp'ta paylaş
  • Microsoft SharePoint sunucularındaki kritik bir güvenlik açığı istismar edilerek ABD federal ve eyalet kurumları, üniversiteler, enerji şirketleri ve Asyalı telekom operatörleri dahil dünya çapında kurum ve şirketler siber saldırıya uğradı
  • Bu saldırı, yaması henüz yayımlanmamış bir 'zero-day' açığı hedef aldı ve on binlerce SharePoint sunucusunu riske attı. Microsoft yalnızca bazı sürümler için yama yayımladı; diğer sürümler hâlâ savunmasız
  • Saldırganlar, sunucularda depolanan hassas verilerin çalınması, parolaların toplanması ve yeniden sızmak için anahtarların ele geçirilmesi gibi ağır sonuçlara yol açtı. Bazı durumlarda kamuya açık bilgi talepleri için kullanılan belge depoları bile “rehin alınarak” erişime kapatıldı
  • Etkilenen alan yalnızca ABD ile sınırlı değil; Avrupa, Asya ve Güney Amerika dahil pek çok ülkeye yayılıyor. FBI, CISA ve diğer ülkelerin kurumları acil müdahale ve bilgi paylaşımı başlattı
  • Microsoft, son birkaç yıldır tekrarlanan güvenlik olayları nedeniyle eleştiriliyordu; bu olay da yama gecikmeleri, zayıf güvenlik yapısı ve saldırganların yeniden sızabilme ihtimali gibi yapısal sınırları yeniden gündeme taşıdı

Microsoft SharePoint sunucularına saldırı

  • Kimliği bilinmeyen saldırganlar, Microsoft’un iş birliği yazılımı SharePoint’teki kamuya açıklanmamış bir güvenlik açığını kullanarak ABD federal ve eyalet kurumları, üniversiteler, enerji şirketleri ve Asyalı telekom operatörleri dahil dünya genelinde kurum ve şirketleri hedef aldı
  • Bu saldırı, zero-day (0-day) açığını hedef aldı; sunuculardaki verilerin sızdırılması ve çalınması, şifreleme anahtarlarının ele geçirilmesi gibi farklı zararlar ortaya çıktı

Açık ve yama durumu

  • Uzmanlara göre on binlerce SharePoint sunucusu risk altında. Hedef yalnızca şirket içi kurulumlarla sınırlı; bulut tabanlı hizmetler (Microsoft 365 vb.) etkilenmedi
  • Microsoft pazar günü bir sürüm için yama yayımladı ancak iki sürüm hâlâ yamasız durumda. Etkilenen kurumlar kendi önlemlerini ve geçici tedbirlerini uyguluyor
  • Saldırganlar, yamadan sonra bile ele geçirdikleri anahtarlarla yeniden içeri sızabildiği için yalnızca hızlı yama geçmekle hasarı gidermenin zor olduğu vurgulanıyor

Saldırının ve hasarın kapsamı

  • CrowdStrike, Palo Alto Networks ve Eye Security dahil çok sayıda güvenlik şirketi, onlarca kurum ve şirketin ihlal edildiğini doğruladı
  • Etkilenenler arasında ABD federal ve eyalet kurumları, Avrupa’daki kamu kurumları, üniversiteler, enerji şirketleri ve Asyalı telekom operatörleri bulunuyor
  • Bir eyalet yönetiminde vatandaş bilgilendirmesi için kullanılan resmî belge deposu hacklenerek erişilemez hâle geldi; bazı çevrelerde verileri tamamen silen bir wiper saldırısı ihtimali de dile getirildi

Güvenlik sektörü ve devletin tepkisi

  • FBI ve CISA gibi ABD devlet kurumları hemen soruşturma başlattı ve ortak müdahale yürütüyor
  • CISA, özel bilgi güvenliği firmalarından ihbar alır almaz Microsoft ile iş birliği yaparak yama geliştirilmesini teşvik etti
  • Center for Internet Security ve benzeri kuruluşlar yaklaşık 100 kuruma acil güvenlik açığı uyarısı gönderdi; ancak bilgi paylaşımı ve olay müdahalesi ekiplerinin bütçe kesintileri nedeniyle ciddi biçimde küçülmesi müdahaleyi zorlaştırıyor

Microsoft ve tekrar eden güvenlik tartışmaları

  • Microsoft, son iki yılda art arda yaşanan hack olayları (ör. 2023’te Çin kaynaklı kamu e-postası hack’i, şirket ağının ihlali, bulut programlama hataları vb.) nedeniyle kamu kurumları ve devlet müşterileri nezdinde güven kaybı yaşadı
  • Bu olay da yama gecikmeleri, benzer açıkların yeterince dikkate alınmaması ve tekrarlayan zayıf güvenlik yönetimi gibi yapısal sınırlamaları yeniden ortaya koydu
  • ABD Savunma Bakanlığı’nın bulut projelerini destekleyen personelde Çin merkezli mühendislerin kullanılması tartışması da eklenince, kamu sektörünün Microsoft’a bağımlılığına ilişkin kaygılar daha da arttı

Sonuç ve görünüm

  • Bu olay, büyük ölçekli iş birliği çözümlerindeki tek bir açığın dünya çapında sayısız kurum ve şirkette ciddi zincirleme etki yaratabileceğini gösteriyor
  • Saldırganların ele geçirdiği şifreleme anahtarları nedeniyle yama sonrasında da uzun süre içeride kalma ihtimali yüksek; bu da basit yama uygulamasının ötesinde köklü güvenlik güçlendirmelerine ihtiyaç olduğunu gösteriyor
  • Güvenlik personeli ve bütçesindeki kesintiler ile BT yönetişimi eksikliği, kamu sektörünün siber tehditlere karşı yapısal zafiyetleri olarak işaret ediliyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-07-22
Hacker News görüşleri

  • CISA, güvenlik açığı bulunan kuruluşlara resmi yama çıkana kadar ilgili ürünü internetten ayırmalarını tavsiye etti; ancak SharePoint’i kurum içinde on-premises barındırıp aynı zamanda internete açık tutan kuruluşlar olması bana ilginç geliyor, bu tür yerlerin çoğunun VPN’i zorunlu kıldığını sanıyordum

    • CISA’nın geçmişe kıyasla gerçek anlamda yetenekli insanları kaybedip siyasi uyuma daha fazla önem veren bir yapıya dönüşmüş olmasından üzüntü duyuyorum; yakın zamanda Arizona’nın İranlı hackerlar tarafından saldırıya uğradığı ama yardım istemediği bir örnek de var makale bağlantısı, geniş çaplı saldırıları soruşturan CISA gibi kurumlar gerçekten çok önemli ve şu anda siyasi ölçütlerin etkisine açık olmaları endişe verici Techdirt bağlantısı

    • En iyi pratik, ağın zaten ihlal edildiğini varsaymaktır, VPN de kusursuz bir güvenlik garantisi vermez, organizasyon ne kadar büyükse cihaz kaybı ya da yönetim zorluğu da o kadar artar; bu yüzden katı biçimde “zero trust” yaklaşımı ve her yerden erişilebilirlik önemlidir, kuruluşlar veriyi kontrol altında tutarken aynı zamanda çalışma esnekliği de ister

    • SharePoint aslında herkese açık web siteleri çalıştırmak için de yoğun biçimde pazarlanıyordu, buluta geçişten önce Microsoft satış temsilcileri ofise gelip en yeni SharePoint sayesinde Wordpress’in ortadan kalkacağını bile anlatıyordu, bu ataletten dolayı hâlâ eski yöntemde kalan çok sayıda kurum var

    • SharePoint, Exchange gibi iç servisleri pre-auth reverse proxy arkasında çalıştırmak da pek alışılmadık bir şey değil

    • Geçmişte Microsoft SharePoint’i intranet amaçlı yoğun şekilde pazarladığı için birçok kurum bunu benimsedi, SharePoint 2019’un destek sonuna yaklaşması nedeniyle yerine geçecek sistemi hızla kurmaya çalışan çok sayıda organizasyon var

  • Principal Engineer Copilot’un bu tür açıkları neden engelleyemediğini merak ediyorum

    • Açık, Copilot bu unvanı almadan önce de var olmuş olabilir, hatta bir stajyer döneminden kalmış bir sorun da olabilir

    • Hackerlar, müşteriler, çalışanlar, yöneticiler, hepsi benzer; defalarca Çin tarafından, kendi müşterileri tarafından ve yine Çin bağlantılı yöneticiler ya da çalışanlar üzerinden hacklendiler, şirketin tamamının zaten sızılmış olduğunu düşünüyorum, PE copilot belki de saldırıya yardım eden taraftadır diye bir güvensizlik hissediyorum

    • Hackerlar da Copilot kullanabildiğine göre sonuçta taraflardan biri kazanmak zorunda(?)

  • SharePoint’e gereğinden fazla zaman harcadım, onu internete açmanın asla iyi bir tercih olmadığını düşünüyorum, bazı sürümlerde herkese açık web sunucusu amacıyla da tanıtım yapılmış gibi görünüyor ama ben bunun yerine tüm instance’ları ağ üzerinde izole ederek kurdum

    • 2010’ların başında Microsoft, SharePoint’i internet sitesi çözümü olarak agresif biçimde pazarlıyordu ve bir dönem BMW ya da Ferrari gibi Avrupalı otomobil üreticilerinin bunu küresel pazarlama siteleri için kullandığını bile görmüştüm, ancak site başına 40 bin dolar gibi çok pahalı olduğu için uzun ömürlü olmadı

    • Yıllar önce kısa bir süre SharePoint kullandığımda, herkese açık web barındırmanın SharePoint’in asıl amacı olduğunu sanmıştım

  • Pentagon çalışanları arasında “ABD ordusunu çökertmek istiyorsan tek yapman gereken SharePoint’i ortadan kaldırmak” şakasını çok duydum, askerî konuşmalarda sürekli geçen bir espridir

    • Bir dönem kurum içinde yoğun şekilde SharePoint kullanıyorduk

  • Canlı güvenlik uyarı akışım bu haberi büyük medyadan önce yakaladı ZeroDayPublishing akışı

    • Acaba RSS akışı da sunuyorlar mı?

  • On-premises kurumsal iş dünyasında Microsoft’tan çok Red Hat görmemiz gerektiğini düşünüyorum, özellikle DoD gibi kritik müşteriler için bu tür açıklar kabul edilemez, Google’ın aşılamaz olduğu yönünde çok yorum varken devlet kurumlarının SharePoint gibi kırılgan on-premises çözümler kullanması tuhaf geliyor, neden daha ucuz ve daha yaygın Linux tabanlı çözümlere gidilmiyor merak ediyorum, gerçekten güvenlik en önemli öncelik değil mi?

    • Bunun sebebi bence Microsoft’un devlet kurumlarının talep ettiği türlü regülasyonları ve bürokratik süreçleri iyi yönetebilmesi, Linux tarafında bunu bu düzeyde iyi yapan bir yer bilmiyorum

  • Microsoft’un gerçekten Çin’de yaşayan çalışanlar aracılığıyla ABD Savunma Bakanlığı sunucularını yönetmiş olup olmadığını merak ediyorum, DoD içinde de muhtemelen SharePoint kullanılıyordur

    • DoD’nin kullandığı ayrı bir M365 sürümü var (SPO dahil), ama bunun bu makaleyle ilgisi yok

    • İlgili makale bağlantısı Reuters makalesi

    • Makaleden alıntıyla, “Bulut hizmetlerindeki programlama kusurları nedeniyle Çin bağlantılı hackerlar federal hükümet e-postalarını ele geçirebildi ve ProPublica, Microsoft’un yakın zamana kadar ABD askerî bulut programına destek personeli olarak Çinli mühendisler kullandığını ortaya çıkardı; Savunma Bakanı da bunun tamamen gözden geçirilmesini emretti”

  • CISA bütçesindeki büyük kesintilerin sonucu olarak kriz müdahale personelinin de %65 azalması ve bu yüzden olay müdahalesinin çok daha uzun sürmesi dikkat çekici geldi

    • Bu kadar çok uzman insanın işini kaybetmesi mi, yoksa bu kadar kesinti yapıldıktan sonra bile ortada neredeyse hiç gerçek israf bulunamaması mı daha sinir bozucu, karar veremiyorum, gerçekten akıl almaz bir durum

  • Biraz tepki çekebilir ama bu tür olayların daha da yaşanıp şirketlerin SharePoint kullanmayı bırakmasını dilediğim bile oluyor, 2017’den beri kullanmadım ama kullandığım her seferde gerçekten berbattı, hatta “SharepoIT Happens” yazılı bir tişört bile giydim, iş arkadaşlarımın da hepsi SharePoint’ten nefret ettikleri konusunda hemfikirdi

    • M365 kullanmayı bırakmadığınız sürece SharePoint kullanmayı da bırakamazsınız, örneğin Teams’te bir ekip oluşturduğunuzda otomatik olarak bir M365 grubu oluşur ve her grup için bir SharePoint sitesi ile bir Exchange posta kutusu yaratılır, kanal dosyaları da SharePoint’te saklanır, mesajlar Exchange’te tutulur, kişisel dosyalar OneDrive’da (=SharePoint) saklanır, yani aslında M365’in tamamı SharePoint ve Exchange üzerine kuruludur

    • Geçmişte Microsoft’ta SharePoint tabanlı otomatik DRM sistemi kurmaya çalışan bir şirkette çalıştım, belgeyi yüklediğinizde SharePoint otomatik olarak DRM uyguluyor ve kullanıcı dosyayı indirdiğinde yalnızca belirlenmiş cihazda açılabiliyordu, ama giriş yöntemine bağlı olarak DRM uygulanmamış dosyalar da olduğu gibi alınabiliyordu ve Microsoft danışmanları bile sonunda bunu çözemedi

    • Bizim şirkette hem SharePoint hem de ayrı bir iç doküman/not sitesi var (ör. Notion/Quip/Confluence türü), geliştiricilerin büyük çoğunluğu ikincisini kullanıyor, ama bazı çalışanlar yalnızca Word dosyası yüklediği için sonunda herkes SharePoint kullanmak zorunda kalıyor ve belgeleri iki ayrı yerde aramak gerekiyor

    • Müdürüm bir yıldan uzun süre bana sürekli SharePoint kurulumu yaptırmaya çalıştı ama altı ay geçince düzgünce araştırdığımda pek de kayda değer görünmedi, sonunda müdür başka bir teknisyen tuttu ve bir günde kurdu ama kimse kullanmadı, geriye kalan tek şey hızlı USB sürücümün çalınmış olmasıydı

    • Devlet kurumlarıyla çalışan orta ölçekli şirketler açısından, daha iyi çözümler olsa bile neredeyse hiç kullanılmıyor, siber güvenlik gereksinimleri o kadar fazla ki SharePoint “ticari olarak uygulanabilir tek” seçenek hâline gelmiş durumda, SharePoint ne kadar kötü olursa olsun alternatif çözümler “risk” sayılıyor, dosya listesinde kaydırma yapılamaması, otomasyon sorunları, M365 tenant’ları arasında girişin bozulması, URL’lerin okunaksız olması, aramanın zayıf çalışması, tablo/filtre hataları, izin ayarları arayüzünün gizlenmiş olması gibi irili ufaklı birçok şikâyet var, bunlar aratıp düzeltilecek türden problemler değil

  • Eğer bir şirketin yönetim kurulunda olsaydım, Microsoft çözümlerini gönüllü olarak savunan bir CTO’ya ya da kurucuya asla kolay kolay güvenmezdim, Teams içinden Microsoft Office bağlantısına her tıkladığımda Microsoft’a olan güvensizliğim biraz daha artıyor, SharePoint’te güvenlik açığı çıkmasına da hiç şaşırmıyorum