ToolShell'e Karşı Savunma: SharePoint'in En Son Kritik Güvenlik Açığı
ToolShell'e Karşı Savunma: SharePoint'in En Son Kritik Güvenlik Açığı
"ToolShell" (CVE-2025-53770) adlı yeni, kritik bir sıfır gün güvenlik açığı, şirket içi SharePoint Server dağıtımları için önemli bir tehdit oluşturuyor. Bu güvenlik açığı, kimliği doğrulanmamış uzaktan kod yürütülmesine (RCE) olanak tanıyarak dünya çapındaki kuruluşlar için önemli bir risk oluşturur. SentinelOne, bu yeni saldırının oluşturduğu aktif tehdidi ve kuruluşların mümkün olan en kısa sürede hafifletici önlem almasının önemini artırarak, vahşi doğada istismarı tespit etti.
Bu blogda, ToolShell'e karşı korunmanın yollarını ve SentinelOne'ın bu kritik güvenlik açığı için sizi nasıl bir adım önde tuttuğunu özetliyoruz. Bu tehdidin kapsamlı bir teknik dökümü için SentinelOne blogunda ayrıntılı bir analiz yayınladık.
ToolShell nedir?
ToolShell, şirket içi SharePoint Sunucularını etkileyen kritik bir sıfır gün uzaktan kod yürütme güvenlik açığıdır. Ciddiyeti birkaç temel özellikten kaynaklanmaktadır:
• Sıfır Gün Durumu: Daha önce bilinmiyordu ve yama uygulanmamıştı, bu da kuruluşları resmi düzeltmeler mevcut olmadan önce açıkta bırakıyordu.
• Yüksek CVSS Puanı (9.8): Bu, yüksek etkiye sahip kritik bir güvenlik açığını ifade eden maksimuma yakın önem derecesini gösterir.
• Kimlik Doğrulaması Gerekmez: Saldırganlar, geçerli kimlik bilgilerine ihtiyaç duymadan ToolShell'den yararlanabilir ve bu da savunmasız sistemlerin güvenliğini aşmayı inanılmaz derecede kolaylaştırır.
• Uzaktan Kod Yürütme (RCE): Başarılı açıktan yararlanma, saldırganlara güvenliği ihlal edilmiş SharePoint Server'da rastgele kod yürütme yeteneği verir ve bu da potansiyel olarak tam sistem kontrolüne, veri hırsızlığına veya ağ üzerinde daha fazla yanal harekete yol açar.
• Vahşi Sömürü: Tehdit aktörleri zaten bu güvenlik açığından aktif olarak yararlanıyor ve oluşturduğu acil ve somut tehlikeyi vurguluyor.
SentinelOne'ın ToolShell'e Karşı Savunması
SentinelOne'da proaktif güvenliğe olan bağlılığımız, ToolShell gibi ortaya çıkan tehditleri genellikle yaygın haberler haline gelmeden önce belirlemek ve etkisiz hale getirmek için sürekli çalıştığımız anlamına gelir. SentinelOne, güvenlik açığının kamuya duyurulmasından iki gün önce müşterilerimizin ToolShell'den haberdar olduğunu ve onları korumak için çalıştığını biliyordu. Bu entegre yaklaşım, SentinelOne müşterilerinin en başından itibaren korunmasını sağlar:
• SentinelOne'ın Güvenlik Açığını Tanımlaması ve Dökümü: Birinci sınıf tehdit araştırma ekibimiz SentinelLABS, MDR ekibimizle birlikte, ToolShell güvenlik açığını hızlı bir şekilde belirledi ve derinlemesine bir teknik analiz gerçekleştirdi. Bu erken içgörü, etkili karşı önlemler geliştirmek için kritik öneme sahiptir.
• SentinelOne Müşterileri için Kullanıma Hazır Algılama Mantığı: SentinelLABS'ın ayrıntılı analizine dayanarak, mühendislik ekiplerimiz hızla sağlam, kullanıma hazır algılama mantığını geliştirdi ve doğrudan SentinelOne platformuna uyguladı. Bu, SentinelOne müşterilerinin ToolShell'e karşı otomatik olarak koruma aldığı anlamına gelir.
• Sorunsuz IOC Entegrasyonu: SentinelLABS tarafından tanımlanan IOC'ler, SentinelOne platformuna otomatik olarak entegre edilerek, izlenen tüm uç noktalarda ToolShell ile ilgili etkinliği algılama ve önleme yeteneğini geliştirir.
• Singularity Platform Kullanıcıları için Sorguları Avlama: SentinelOne Singularity Platform'dan yararlanan güvenlik ekipleri için, bu güvenlik açığının teknik dökümünün yanı sıra aşağıda belirli avcılık sorgularını kullanıma sunduk. Bu sorgular, güvenlik analistlerinin ortamlarında ToolShell etkinliğine ilişkin herhangi bir işareti proaktif olarak aramasına olanak tanıyarak kapsamlı görünürlük sağlar ve hızlı yanıt sağlar.
• Singularity Güvenlik Açığı Yönetimi Yoluyla Proaktif Algılama: Singularity Güvenlik Açığı Yönetimi'ni kullanan SentinelOne müşterileri, ortamlarındaki ToolShell örneklerini de algılayarak ekiplerin etkin bir saldırı sırasında istismar edilmeden önce güvenlik açığını tanımlamasına ve azaltmasına olanak tanır.
ToolShell'e Karşı Nasıl Savunma Yapılır?
ToolShell'in kritik doğası göz önüne alındığında, kuruluşların çok katmanlı bir savunma stratejisi uygulamasını şiddetle tavsiye ediyoruz. Uzlaşma riskini azaltmak için proaktif önlemler çok önemlidir:
Anında Azaltma ve Yama Yapma:
• SharePoint örneklerini genel kullanılabilirlikten yalıtın: Mümkün olduğunda, genel İnternet'ten şirket içi SharePoint Sunucularına erişimi kısıtlayın. Bu, saldırı yüzeyinizi önemli ölçüde azaltır.
• Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi'ni (AMSI) Tam Modda Etkinleştir: Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI), SharePoint'in uç nokta koruma çözümünüzün tarama yetenekleriyle tümleştirilmesini sağlayan bir arabirim standardıdır. AMSI, Eylül 2023 SharePoint güncelleştirmesinde varsayılan olarak etkinleştirilmiş olsa da, bu özelliği yapılandırmamış olan kuruluşların tümleştirmeyi mümkün olan en kısa sürede etkinleştirmesi gerekir.
• Mevcut düzeltme eklerini hemen uygulayın: Microsoft, SharePoint Aboneliği ve 2019 sürümleri için ToolShell'i ele almak için güvenlik güncelleştirmeleri yayımladı. Kuruluşlar bu yamaları mümkün olan en kısa sürede önceliklendirmeli ve dağıtmalıdır.
Gelişmiş Algılama ve İzleme:
• Güvenlik Ihlali Göstergelerini (IOC'ler) Entegre Edin: SentinelLABS, aşağıda ve SentinelOne'ın teknik dökümünde ayrıntılı olarak açıklandığı gibi, ToolShell istismarıyla ilgili belirli IOC'ler sağlamıştır. Bunlar, ortamınızdaki olası istismarı tespit etmek için EDR/XDR ve SIEM araç setlerinize derhal eklenmelidir. SentinelOne müşterilerinin, Platform Algılama Kitaplığınıza zaten eklenmiş olan ToolShell için platform algılama kurallarını etkinleştirmeleri önerilir.
• Şüpheli SharePoint Davranışını İzleme: Açıktan yararlanmanın ve sonraki web kabuğunun varlığını algılamak için önemli SharePoint dizinlerini, özellikle de 'LAYOUTS' dizinini izlemek için özel algılama kuralları dağıtın. SentinelOne kullanıcıları için ilgili kurallar Platform Algılama Kitaplığı'nda sağlanır.
• Geriye Dönük Tehdit Avcılığı: Şu anda şirket içi SharePoint Server çalıştırıyorsanız, ToolShell'den yararlanma için geriye dönük tehdit avcılığı kesinlikle önerilir.
Son
ToolShell, şirket içi SharePoint Server çalıştıran birçok kuruluşu önemli bir risk altında bırakan önemli bir güvenlik açığını temsil eder. Kimliği doğrulanmamış uzaktan kod yürütme potansiyeli, gözlemlenen vahşi istismarla birleştiğinde, kuruluşların güvenlik duruşlarını sürdürmek için kararlı eylemlerde bulunmaları gereken acil ihtiyacın altını çiziyor. Bu, riski azaltmak için yamaları özenle uygulamayı, sağlam izlemeyi uygulamayı ve gelişmiş tehdit algılama yeteneklerinden yararlanmayı içerir.
SentinelOne müşterileri için, korunduğunuzdan emin olabilirsiniz. Özel tehdit araştırma ve MDR ekiplerimiz, düşmanların bir adım önünde olmak için yorulmadan çalışarak platformumuzun ToolShell gibi ortaya çıkan tehditlere karşı anında ve etkili savunma sağlamasını sağlar. Proaktif tanımlamamız, algılama mantığının hızlı dağıtımımız ve sürekli istihbarat paylaşımımız, müşterilerimizin esnek bir güvenlik duruşu sürdürmelerini sağlar.
Temas Yapay zeka destekli güvenlik platformumuzun kuruluşunuzun hak ettiği kapsamlı korumayı ve gönül rahatlığını nasıl sağlayabileceğini öğrenmek için bugün SentinelOne'a katılın. Bir sonraki sıfırıncı günü beklemeyin; Geleceğinizi bugünden güvence altına alın.