Microsoft geçen ay (temmuz 2025), SharePoint Server’daki (kurum içi sürümler) kritik sıfırıncı gün güvenlik açıklarının (özellikle CVE‑2025‑53770 / “ToolShell” ve ilgili CVE’ler), Linen Typhoon, Violet Typhoon ve Storm‑2603 gibi Çin devlet bağlantılı gruplar tarafından, Warlock fidye yazılımı gibi kötü amaçlı yazılımları dünya çapında yüzlerce kuruluşa dağıtmak için aktif olarak kullanıldığını açıkladı. Daha önce soruşturma yaptığını açıklamıştı.
400’den fazla kuruluşta güvenlik ihlali yaşandı ve küresel çapta 9.000’e kadar güvenlik açığı bulunan SharePoint hizmetinin etkilendiği tahmin ediliyor. Tehlikeye düşen kurumlar arasında Ulusal Nükleer Güvenlik İdaresi ve İç Güvenlik Bakanlığı gibi ABD kurumları da yer alıyor. ProPublica raporu, Microsoft’un SharePoint On-Premises’i sürdürmek için uzun süredir Çin merkezli mühendislik ekipleri çalıştırdığını ve bu sürümün daha sonra ToolShell aracılığıyla istismar edildiğini ortaya koydu.
Microsoft, bu Çinli ekiplerin ABD merkezli personel tarafından denetlendiğini ve kod incelemesine tabi tutulduğunu iddia etse de, eleştirmenler denetleyici personelin kasıtlı olarak derin teknik uzmanlıktan yoksun olduğunu ve bunun kritik bir güvenlik denetimi yarattığını söylüyor. Microsoft o zamandan beri hassas sistemler için bu destek çalışmalarını Çin dışına taşımayı taahhüt etti.
Yabancı mühendislerin, özellikle Çin gibi veri erişim yasalarına sahip bölgelerde, ABD kurumları tarafından kullanılan sistemleri desteklemesine izin vermek, ciddi bir operasyonel risk oluşturur. Dahili hata ayıklama araçlarının, yapıların veya kimlik bilgilerinin paylaşılması, saldırganların istismarlar oluşturmasına istemeden de olsa yardımcı olabilir. ABD Kongresi ve ulusal güvenlik kurumları gibi kurumlar, Çin merkezli mühendislerin bu model kapsamında yıllarca savunma bakanlığı bulut sistemlerini destek hizmeti verdiğini belirterek endişelerini dile getirdiler.
Bu olay, yazılım tedarik zinciri güveni ve jeopolitik risk hakkındaki tartışmalarda önemli bir noktayı işaret ediyor. Yama sonrası, normal geliştirici erişim modellerinin bile nasıl bir dezavantaj olabileceğini ortaya koyuyor. Şirket içi sistemlere güvenen kuruluşlar, destek düzenlemelerini siber risk profillerinin bir parçası olarak ele almalıdır.
Kaynak : 