Microsoft’un SharePoint yazılımında ortaya çıkan güvenlik açığı, dünya genelinde en az 100 kurumu hedef alan bir siber saldırıya yol açtı. Saldırılar, kurum içinde barındırılan SharePoint sunucularına yönelik gerçekleşti. Microsoft’un bulut tabanlı SharePoint hizmetlerinde ise herhangi bir güvenlik sorunu tespit edilmedi.
Açığın, daha önce bilinmeyen bir yazılım zafiyetine dayanması nedeniyle “sıfırıncı gün” (zero-day) olarak sınıflandırıldığı bildirildi. Bu tür açıklar, henüz üretici firma tarafından tanımlanmamış ve kapatılmamış olması nedeniyle saldırganlara sistemlere doğrudan sızma imkanı tanıyor.
İlk tespit Eye Security’den geldi
Saldırı ilk olarak Cuma günü Hollanda merkezli siber güvenlik firması Eye Security tarafından tespit edildi. Firma, müşterilerinden birinin sisteminde olağandışı ağ trafiği fark etti. Yapılan incelemede SharePoint sunucusuna uzaktan erişim sağlandığı ortaya çıktı. Bunun üzerine, güvenlik araştırma grubu Shadowserver Foundation ile yapılan geniş kapsamlı taramalarda yaklaşık 100 sunucunun saldırıdan etkilenmiş olabileceği belirlendi.
Etkilenen sistemlerin çoğunun ABD ve Almanya’da bulunduğu bildirildi. Kurbanların isimleri kamuoyuyla paylaşılmazken, ilgili ülkelerin siber güvenlik birimlerinin bilgilendirildiği açıklandı. Yetkililer, saldırının hükümet birimlerini de kapsadığını doğruladı.
Güvenlik araştırmacıları, saldırganların bu açık üzerinden hedef sistemlere erişim sağladığını ve çoğu durumda kalıcı erişim sağlayabilecekleri arka kapılar yerleştirdiğini tespit etti. Bu durum, sistemlere uzun vadeli erişim sağlanmış olabileceği anlamına geliyor.
Microsoft güncelleme yayımladı
Microsoft, yayımladığı güvenlik uyarısıyla söz konusu açığı doğruladı ve etkilenen sistemler için acil bir yama yayımladı. Şirket, tüm kurumlara bu güncellemeleri en kısa sürede yüklemeleri çağrısında bulundu. Ancak uzmanlara göre, sadece yamanın uygulanması yeterli olmayabilir. Siber güvenlik danışmanları, saldırganların çok sayıda sisteme kalıcı erişim sağlamış olabileceğini, bu nedenle sadece güncelleme yapmakla yetinilmemesi gerektiğini vurguluyor. Sistemlerde olası arka kapıların kontrol edilmesi, oturum günlüklerinin incelenmesi ve sistem bütünlüğünün doğrulanması gerektiği ifade ediliyor.
Yetkililer süreci takip ediyor
ABD Federal Soruşturma Bürosu (FBI), saldırıların farkında olduklarını ve federal kurumlarla iş birliği içinde durumu izlediklerini açıkladı. İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ise ülkede sınırlı sayıda kurumun hedef alındığını doğruladı.
Sophos’un tehdit istihbarat direktörü Rafe Pilling’e göre saldırı ilk etapta tek bir hacker grubu tarafından gerçekleştirildi. Ancak açığın kamuoyuna açıklanmasının ardından farklı gruplar tarafından da kullanılma ihtimali yüksek.
Açık sunucular hala hedefte
Siber güvenlik arama motoru Shodan verilerine göre, dünya genelinde 8 binden fazla SharePoint sunucusu hala internete açık durumda bulunuyor. Bu sunucuların önemli bir kısmı kamu kurumlarına, finans kuruluşlarına, denetim firmalarına ve sanayi şirketlerine ait.
Uzmanlar, bu sistemlerin tamamının potansiyel hedef haline geldiğini belirtiyor. İngiltere merkezli güvenlik danışmanlık şirketi PwnDefend, açığın sadece teknik bir sorun değil, operasyonel bir güvenlik sorunu haline geldiğini ve bu tür vakalarda “ihlal gerçekleşmiş varsayımıyla” hareket edilmesi gerektiğini ifade etti.
Microsoft’a yönelik bu yüksek profilli siber saldırı, şirketin hisse performansını kısa vadede etkilemedi. Pazartesi günü New York Borsası’nda işlem gören Microsoft hisseleri %0,06 oranında artış gösterdi. Son beş işlem gününde ise şirketin toplam hisse değeri %1,5 yükseldi.
