Teknoloji devi Microsoft, Çin merkezli üç hacker grubunun (Linen Typhoon, Violet Typhoon ve Storm-2603) şirket içi SharePoint sunucularındaki güvenlik açıklarından yararlanarak 400 kuruluşu hedef aldığını duyurdu. Bu grupların bazıları devlet destekli. Saldırılar 7 Temmuz'da başladı ve Microsoft'un bulut tabanlı SharePoint Online hizmetini değil, yalnızca kuruluşların kendi sunucularında barındırdığı SharePoint sürümlerini etkiledi. Saldırı, güvenlik açıklarının istismar edilmesiyle başlıyor ve hacker'ların yetkisiz erişim elde etmesine, verileri çalmasına ve ağ içinde yatay hareket etmesine yol açıyor. Microsoft tarafından yayınlanan güvenlik güncellemeleri acilen uygulanmalı. Bu durum, kuruluşların verilerinin ve sistemlerinin güvenliği için büyük bir risk oluşturuyor. Saldırganlar, kimlik doğrulama bilgilerini taklit ederek uzaktan kötü amaçlı kod çalıştırabiliyor ve hatta kriptografik anahtarları çalabiliyor. Bu durum veri kaybı ve büyük mali kayıplara yol açabilir. Ayrıca, saldırıların önlenmesi ve tespiti için ek önlemlerin alınması da önemlidir.

SharePoint Güvenlik Açığı Nasıl Ortaya Çıktı?

Hollanda merkezli bir siber güvenlik firması olan Eye Security, ilk olarak bu güvenlik açıklarını tespit etti ve Microsoft'u uyardı. Açıklanan güvenlik açıkları, saldırganların kimlik doğrulama bilgilerini taklit ederek SharePoint sunucularında uzaktan kötü amaçlı kod çalıştırmalarına olanak tanıyor. Bu durum, saldırganların sunucuya yetkisiz erişim sağlamasına ve verileri çalmasına, hatta sistemi tamamen ele geçirmesine olanak tanıyor. Microsoft, saldırganların "anahtar materyalin çalınmasını sağlayan" bir istek gönderdiğini gözlemledi. Bu anahtarların çalınması, uzun süreli güvenlik sorunlarına ve veri ihlallerine neden olabilir. Kuruluşlar, bu durumu önlemek için acil önlemler almalıdır. Güvenlik açıklarını kapatmak ve sistemleri güncellemek, saldırılardan korunmanın en etkili yoludur. Ayrıca düzenli güvenlik denetimleri de yapılması oldukça önemli.

Saldırıdan Nasıl Korunabilirim?

Microsoft, SharePoint kullanan müşterilerine acil olarak en son güvenlik güncellemelerini uygulamalarını tavsiye ediyor. Antimalware Tarama Arayüzü'nün etkin ve doğru çalıştığından emin olunmalıdır. Microsoft Defender Antivirus programının etkinleştirilmesi de öneriliyor. ASP.NET makine anahtarlarının döndürülmesi de önemli bir önlemdir. Bu anahtarların düzenli olarak değiştirilmesi, saldırganların sistemlere erişimini engellemeye yardımcı olabilir. Eye Security, saldırının hedefi olduğunu fark eden müşterilere etkilenen SharePoint sunucularını kapatmalarını, kimlik bilgilerini değiştirmelerini ve bir siber güvenlik firmasıyla iletişime geçmelerini öneriyor. Proaktif güvenlik önlemleri almak, olası bir saldırıdan önce sistemleri korumak için çok önemlidir. Bu önlemler, kuruluşların hem mali kayıplarını hem de itibar kayıplarını önlemesine yardımcı olabilir.

Saldırının Arkasındaki Gruplar

Microsoft, Linen Typhoon ve Violet Typhoon'un uzun yıllardır faaliyet gösteren ve çeşitli sektörleri hedef alan, devlet destekli gruplar olduğunu belirtti. Storm-2603'ün ise Çin merkezli olduğundan orta düzeyde emin olunduğu açıklandı. Bu gruplar, hükümetlerden özel sektöre kadar çok çeşitli kuruluşları hedef alarak, hassas bilgileri çalmayı amaçlıyorlar. Bu durum, ulusal güvenlik ve ticari sırların korunması için ciddi bir tehdit oluşturuyor. Saldırganların çeşitli yöntemler kullandığı ve sürekli olarak yeni güvenlik açıkları aradığı göz önüne alındığında, şirketlerin sürekli olarak güvenliklerini güncellemeleri ve geliştirmeleri gerekiyor. Güvenlik güncellemeleri, siber güvenlik tehditlerine karşı en etkili önlemdir.