Microsoft heeft spoedupdates uitgebracht voor SharePoint om twee zero-day kwetsbaarheden te verhelpen: CVE-2025-53770 en CVE-2025-53771. Deze kwetsbaarheden hebben wereldwijd diensten beïnvloed door "ToolShell"-aanvallen.

Tijdens de Berlin Pwn2Own-wedstrijd in mei ontdekten onderzoekers een reeks zero-day kwetsbaarheden, genaamd "ToolShell", die hen in staat stelden om remote code execution in Microsoft SharePoint te bereiken.

Hoewel deze fouten in juli werden verholpen, vonden kwaadwillenden toch twee nieuwe kwetsbaarheden die de patches omzeilden. Hierdoor konden ze ToolShell-aanvallen uitvoeren op SharePoint-servers, wat al meer dan 54 organisaties wereldwijd heeft geraakt.

Spoedupdates vrijgegeven

Microsoft heeft daarom spoedupdates uitgebracht voor SharePoint Subscription Edition en SharePoint 2019. Voor SharePoint 2016 is er nog geen update beschikbaar.

Beheerders van Microsoft SharePoint moeten de volgende updates direct installeren, afhankelijk van de versie:

• De KB5002754-update voor SharePoint Server 2019.
• De KB5002768-update voor SharePoint Subscription Edition.
• De update voor SharePoint Enterprise Server 2016 moet nog uitkomen.

Na installatie van de updates adviseert Microsoft om de SharePoint machine keys te vernieuwen. Dit kan via:

Manueel met PowerShell

Gebruik de Update-SPMachineKey cmdlet.

Manueel via Central Administration

Volg deze stappen om de Machine Key Rotation in gang te zetten:

1. Ga naar de Central Administration site.
2. Ga naar Monitoring -> Review job definition.
3. Zoek de Machine Key Rotation Job en selecteer Run Now.
4. Herstart IIS op alle SharePoint-servers met iisreset.exe.

Het is ook aan te raden om de logbestanden en het bestandssysteem te controleren op aanwijzingen van kwaadaardige activiteiten. Let op:

• Aanmaak van het C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspx bestand.
• IIS-logbestanden met een POST-verzoek naar _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx met een HTTP-referer van _layouts/SignOut.aspx.

Microsoft heeft een Microsoft 365 Defender-query gedeeld om te controleren of het spinstall0.aspx-bestand op uw server is aangemaakt:

plaintext
DeviceFileEvents
| where FolderPath has "MICROS~1WEBSER~116TEMPLATELAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

Als het bestand bestaat, moet er grondig onderzoek worden gedaan op de getroffen server en het netwerk om te voorkomen dat de aanvallers zich verder verspreiden.

Daarnaast biedt Wiz gratis hulpmiddelen voor CISO’s om cloudbeveiliging te vertalen naar strategisch voordeel in het bestuur. Hun rapportage-template helpt beveiligingsleiders om risico’s en prioriteiten duidelijk te presenteren.

[Download de template om vandaag nog aan de slag te gaan.]

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.