Kritische Kwetsbaarheid in SharePoint Actief Gebruikt

Een kritieke zero-day kwetsbaarheid in Microsoft SharePoint, geregistreerd als CVE-2025-53770, wordt actief uitgebuit sinds 18 juli, zonder beschikbare patch en met minstens 85 wereldwijd aangetaste servers.

In mei combineerden onderzoekers van Viettel Cyber Security twee SharePoint-fouten, CVE-2025-49706 en CVE-2025-49704, in een "ToolShell" aanval tijdens Pwn2Own Berlin, wat externe code-uitvoering mogelijk maakte.

Hoewel Microsoft deze ToolShell-fouten in juli patchte, waarschuwt het nu voor een variant van CVE-2025-49706, geregistreerd als CVE-2025-53770, die actief wordt uitgebuit.

"Microsoft is op de hoogte van actieve aanvallen gericht op lokale SharePoint Server-klanten," meldt Microsoft.

Deze kwetsbaarheid heeft geen invloed op Microsoft 365. Er wordt gewerkt aan een beveiligingsupdate die zo snel mogelijk wordt vrijgegeven.

Aanbevelingen van Microsoft

Microsoft raadt aan om AMSI-integratie in SharePoint in te schakelen en Defender AV op alle SharePoint-servers te installeren.

AMSI (Antimalware Scan Interface) is een beveiligingsfunctie die applicaties en diensten in staat stelt om mogelijk schadelijke inhoud door te geven voor real-time scanning. Het wordt vaak gebruikt om scripts en code in het geheugen te inspecteren.

Deze maatregelen moeten ongeauthenticeerde aanvallen tegenhouden. AMSI is standaard ingeschakeld sinds de beveiligingsupdates van september 2023 voor SharePoint Server 2016/2019.

Als inschakelen van AMSI niet mogelijk is, moeten SharePoint-servers tijdelijk offline gehaald worden totdat er een update is.

Controle op Inbreuken

Admins kunnen controleren of een SharePoint-server is gecompromitteerd door te zoeken naar het bestand spinstall0.aspx op de volgende plek: C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTS.

Microsoft heeft een query gedeeld voor Microsoft 365 Defender om te zoeken naar deze bestanden.

Aanvallen met Externe Code Uitvoering

De aanvallen werden voor het eerst geïdentificeerd door het Nederlandse Eye Security, dat meldt dat al meer dan 29 organisaties zijn getroffen.

Eye Security ontdekte aanvallen op 18 juli toen hun EDR agent een verdachte activiteit met een schadelijk .aspx-bestand detecteerde.

IIS-logs toonden aan dat een POST-verzoek was gedaan met een HTTP-referer naar een verdachte URL.

De kwetsbaarheid werd snel uitgebuit door dreigingsactoren nadat de details ervan waren gedeeld door beveiligingsexperts.

Gevolgen van de Aanval

Tijdens de aanval worden bestanden geüpload die de MachineKey-configuratie van de SharePoint-server stelen, inclusief de ValidationKey en DecryptionKey.

Zodra deze cryptografische gegevens zijn gelekt, kunnen aanvallers met tools als ysoserial hun eigen geldige SharePoint-tokens genereren, wat externe code-uitvoering mogelijk maakt.

Verdachte Activiteiten en Aanbevelingen

Eye Security heeft scans uitgevoerd en vond 29 organisaties die werden getroffen. Ze werken nauw samen met getroffen bedrijven om verdere schade te voorkomen.

Beheerders wordt geadviseerd om bij verdachte tekens onmiddellijk hun servers los te koppelen van het internet en verder onderzoek te doen.

Dit is een zich ontwikkelend verhaal en zal worden bijgewerkt zodra meer informatie beschikbaar komt.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.