Organisaties die SharePoint on-premises draaien, worden actief geviseerd door aanvallers die een nieuwe zero-day-kwetsbaarheid misbruiken om servers te kraken.
Microsoft SharePoint is kwetsbaar voor een zero day-bug. Die krijgt de noemer CVE-2025-53770 mee, samen met een CVSS-score van 9,8 op 10. Hackers buiten de bug op dit moment actief uit en dat wereldwijd. SharePoint wordt door organisaties wereldwijd gebruikt om informatie en bestanden te delen via een intranet. Hackers kunnen niet alleen aan die informatie, maar kunnen ook sleutels stelen die verdere toegang in het netwerk mogelijk maakt.
De kwetsbaarheid geeft niet geauthenticeerde aanvallers in eerste instantie toegang tot on-prem SharePoint-servers die verbonden zijn met het internet. Hackers kunnen vervolgens aan alle data op SharePoint, inclusief eventuele toegangstokens die de deur openen voor verdere systemen op het netwerk. Wie SharePoint on-prem draait, moet er op dit moment vanuit gaan dat er een hack heeft plaatsgevonden.
Patchen en roteren
Beveiligingsonderzoekers merkten op vrijdag al dat er iets niet pluis was. Zaterdag bevestigde Microsoft de aanvallen. Intussen heeft Microsoft ook een patch vrijgegeven om het lek dicht te timmeren. De updates voor Microsoft SharePoint Server Subscription Edition, 2019 en 2019 vind je op deze overzichtspagina van Microsoft zelf.
Verder raadt Microsoft aan om Defender voor Endpoint of een equivalente oplossing uit te rollen naar SharePoint-servers en de Antimalware Scan Interface (AMSI) te activeren en te configureren. Redmond stelt bovendien met aandrang voor om SharePoint-servers los te koppelen van het internet tot de patch geïnstalleerd is.
Vervolgens is het kritiek om SharePoint Server ASP.NET-sleutels te roteren en IIS op alle servers te herstarten. Deze stap volgt na het patchen en is noodzakelijk om malafide toegang in toekomstige aanvallen te voorkomen. Alleen de patch installeren volstaat niet om hackers te weren wanneer die sleutels reeds zijn buitgemaakt.
Het Nederlandse beveiligingsbedrijf Eye Security bond de kat de bel aan. In een uitgebreide blogpost van het beveiligingsbedrijf vind je de technische Indicators of Compromise die aantonen of je slachtoffer bent geworden van een aanval.
Wie SharePoint gebruikt als onderdeel van Microsoft 365 binnen de Microsoft-cloud, hoeft zich geen zorgen te maken. Die versies van SharePoint zijn niet getroffen.
On-prem en Exchange-flashback
De zero day-saga volgt daarmee hetzelfde stramien als eerdere kritieke lekken in Microsoft Exchange. Ook toen troffen bugs enkel on-premises-installaties. In 2021 zorgde zo’n bug voor een wereldwijde schokgolf, nadat een aan China gelieerde hackersgroepering honderden bedrijven aanviel en honderdduizenden organisaties wereldwijd kwetsbaar bleken.
lees ook
Hackers vallen Microsoft SharePoint wereldwijd aan via zero day: patch nu
Dat het SharePoint-lek opnieuw on-premises installaties treft, vergroot het probleem. Het is nu immers aan beheerders om snel en correct actie te ondernemen. De geschiedenis leert dat de beschikbaarheid van een patch niet altijd volstaat om een snelle uitrol ervan te garanderen.
In dit geval is de timing van zero day-aanvalscampagne voor België extra onfortuinlijk, aangezien ze startte aan de vooravond van het lange weekend en de nationale feestdag. Aanvallers kiezen vaak vrijdagen om dergelijke campagnes te starten, omdat de responstijd dan trager is.