
Geçtiğimiz günlerde Microsoft SharePoint Server’da oldukça tehlikeli bir zeroday (sıfırınncı gün) güvenlik açığı tespit edildi. CVE-2025-53770 olarak takip edilen bu açık, özellikle şirket içi SharePoint Server kurulumlarını hedef alıyor ve kimlik doğrulama olmadan uzaktan kod çalıştırılmasına olanak tanıyor. Yani saldırganlar sisteme giriş yapmadan komut çalıştırabiliyor.
Bu açık, daha önce düzeltilmiş olan bir spoofing zafiyetinin (CVE-2025-49706) ciddi bir varyantı. Ancak bu yeni açık çok daha etkili: Aktif olarak sömürülüyor ve bazı durumlarda büyük ölçekli saldırılarda kullanılıyor.
Tehlike Nereden Geliyor?
Saldırganlar, SharePoint’in güvenilmeyen verileri serileştirme yöntemini kötüye kullanıyor. Bu sayede sisteme sızabiliyor, sonrasında makine anahtarlarını ele geçirip ağ içinde kalıcılığını sürdürüyor. Bu teknik, saldırganların sistem içinde yatay hareket etmesine ve tespit edilmeden faaliyet yürütmesine olanak tanıyor.
Kimler Risk Altında?
Sadece on-premise (şirket içi) SharePoint Server kullanan sistemler risk altında. Microsoft 365 SharePoint Online kullanıcıları bu açıktan etkilenmiyor.
Şimdilik Ne Yapmalı?
Henüz tam bir yama yayınlanmadı, ancak Microsoft geçici önlemler önerdi:
- AMSI (Antimalware Scan Interface) entegrasyonu yapılandırılmalı.
- Tüm SharePoint sunucularında Microsoft Defender Antivirüs kurulu olmalı.
- Ek olarak, Microsoft Defender for Endpoint gibi güvenlik çözümleri de devreye alınmalı.
Eğer AMSI’yi etkinleştiremiyorsanız, sunucunun internet bağlantısını kesmeniz önerilir.
CISA’dan Uyarı
ABD Siber Güvenlik Ajansı (CISA) da bu açığın aktif olarak kullanıldığını doğruladı ve tüm kurumları acil önlem almaya çağırdı.






Büyük kurumlar tarafından kullanılıyor hemen aksiyon alınması gereken bir zafiyet.