ToolShell Saldırısı: SharePoint Sunucularına Yönelik Yeni Tehdit ve Sumo Logic ile Tehdit Avcılığı Stratejileri

18 Temmuz 2025 tarihinde Eye Security tarafından, Microsoft’un On-Prem SharePoint sunucularını hedef alan ve “ToolShell” olarak adlandırılan gelişmiş bir siber saldırı zinciri tespit edildi. Bu saldırıda, daha önce yamanmış güvenlik açıklarına benzer iki yeni zafiyet (CVE-2025-53770 - Uzak Kod Çalıştırma ve CVE-2025-53771 - Sunucu Spoofing) kullanılarak sistemlere webshell yüklemesi gerçekleştirildi ve dijital makine anahtarları ele geçirildi.

Microsoft, 19 Temmuz’da acil bir güvenlik güncellemesi (out-of-band patch) yayınlayarak yamaların uygulanmasını, SharePoint ASP.NET makine anahtarlarının döndürülmesini ve kapsamlı izleme/avcılık çalışmalarının başlatılmasını önerdi.

Sumo Logic bu tehdide karşı; detaylı log sorguları, tehdit avcılığı yöntemleri ve SIEM tabanlı tespit kurallarıyla müşterilerine kapsamlı bir analiz ve koruma yaklaşımı sunmaktadır.

Saldırı Zincirinin Bileşenleri ve Tespit Yöntemleri

1. İlk Erişim
   ToolPane.aspx sayfasına yapılan POST istekleri saldırının başlangıç noktasıdır. Bu tür istekler log analizleri ile tespit edilebilir.
2. Webshell Aktivitesi
   spinstall.aspx gibi özel hazırlanmış .aspx dosyaları aracılığıyla saldırganlar hedef sisteme uzaktan komut çalıştırmaktadır.
3. Süreç Tabanlı Anomali
   IIS süreçlerinden (w3wp.exe) başlatılan cmd.exe ve sonrasında powershell.exe çağrıları davranışsal olarak olağan dışıdır ve analiz edilmelidir.
4. Dosya Yazma Faaliyetleri
   PowerShell ya da benzeri yollarla sistem dizinlerine yazılmış .aspx dosyaları, saldırı izlerini ortaya çıkarabilir.
5. Tehdit İstihbaratı Eşleşmeleri
   Paylaşılan hash’ler, IP adresleri ve alan adları ile yapılan eşleşmeler, etki alanındaki olası sızmaların belirlenmesinde kritik rol oynar.

Sumo Logic Cloud SIEM ile Otomatik Tespit Kuralları

Sumo Logic Cloud SIEM aşağıdaki kurallarla SharePoint üzerindeki olağandışı aktiviteleri otomatik olarak tespit eder:

• MATCH-S00164: Web sunucularında shell başlatımı
• MATCH-S00539: Web sunucularında şüpheli işlem yürütülmesi
• FIRST-S00010: İlk PowerShell kullanımı
• MATCH-S00136: Encode edilmiş PowerShell komutu
• MATCH-S01000–S01004: Hash ve IP temelli tehdit istihbarat eşleşmeleri

Cloud SIEM üzerinde Match Lists, Entity Tagging ve Entity Criticality gibi gelişmiş özellikler ile SharePoint sunucularının önceliklendirilmesi, tehdit tespiti ve olay müdahale süreçleri ciddi ölçüde hızlandırılabilir.

Sonuç ve Öneriler

ToolShell saldırısı, SharePoint sistemlerinin güvenliğini doğrudan hedef alarak sistem bütünlüğünü tehdit etmektedir. Microsoft’un sunduğu yamaların uygulanması, makine anahtarlarının döndürülmesi ve sistemlerin Sumo Logic ile derinlemesine taranması önerilmektedir.

Sumo Logic, bu saldırı gibi karmaşık ve katmanlı tehdit senaryolarına karşı tam görünürlük, otomatik tespit kuralları ve güçlü tehdit istihbarat entegrasyonu ile kurumsal düzeyde güvenlik sağlamakta ve olaylara hızlı müdahaleyi mümkün kılmaktadır.

Cloud SIEM’in sağladığı bu yetkinliklerle, benzer tehditleri daha erken tespit edip kontrol altına almak mümkün hale gelir. Henüz Cloud SIEM kullanmıyorsanız, sistemlerinizi bu seviyede korumak adına bir demo talep ederek ilk adımı atabilirsiniz.