Het Nederlandse cybersecuritybedrijf Eye Security waarschuwt voor grootschalige exploitatie van kwetsbaarheden in Microsoft SharePoint. Patchen blijkt niet altijd de oplossing.
Een recent beveiligingslek in Microsoft SharePoint is wereldwijd misbruikt om gerichte aanvallen uit te voeren. Dat blijkt uit onderzoek van het Nederlandse cybersecuritybedrijf Eye Security, dat 396 gecompromitteerde systemen identificeerde verspreid over 41 landen en minstens 145 bedrijven. Eye Security ontdekte rond 18 juli het zeroday-lek.
De kwetsbaarheden, aangeduid als CVE-2025-53770 en -53771, zijn door Microsoft zelf toegeschreven aan groepen met vermoedelijke banden met China. Inmiddels is het lek echter breder misbruikt, ook door cybercriminelen met andere motieven zoals financieel gewin.
Doelgerichte aanvallen
Eye Security voerde na het ontdekken van het lek een grootschalige scan uit op meer dan 27.000 SharePoint-servers. Daaruit blijkt dat vooral overheidsinstellingen (30%) en onderwijsorganisaties (13%) doelwit waren. Deze sectoren zijn vaak het mikpunt van actoren met spionagedoeleinden. Buiten de overheids- en onderwijssector kregen ook SaaS-leveranciers, telecombedrijven en energiebeheerders te maken met besmettingen.
Volgens Eye Security-expert Lodi Hensen gaat het niet om ‘opportunistische’ aanvallen. “De aanvallers wisten precies wat ze zochten”, aldus Hensen.
Mauritius
De meeste bevestigde aanvallen vonden plaats in de Verenigde Staten (18%), maar een groot deel van de aanvallen vindt plaats in Europa. Duitsland (7%), Frankrijk (5%) en Nederland (4%) horen bij de meest getroffen landen. Ook Mauritius (8%) staat hoog op de lijst: het tropische eiland blijkt een populaire bestemming voor SharePoint-servers te zijn.
Of Belgische bedrijven tussen de slachtoffers zitten, blijkt niet meteen uit de cijfers van Eye Security. We hebben het bedrijf hierover om meer informatie gevraagd. Het CCB tracht de omvang van het SharePoint-lek in kaart te brengen. Omdat de meeste Belgische bedrijven SharePoint via de cloud gebruiken, zou de impact eerder beperkt zijn in België.
De analyse laat zien dat meerdere dreigingsactoren gebruikmaakten van verschillende aanvalsmethoden. De kwaadaardige code die verspreid wordt, kan van campagne tot campagne verschillen. Dit wijst op meerdere parallelle aanvallen.
Patchen is niet genoeg
Microsoft intussen beveiligingsupdates heeft uitgebracht, maar dat heeft het aantal getroffen servers nog niet onmiddellijk doen stabiliseren. Dat betekent volgens Eye Security dat veel systemen niet op tijd zijn gepatcht, of dat aanvallers al langdurige toegang hadden verworven. Eens aanvallers binnen zijn, is een patch niet meer dan een pleister op een open wonde.
lees ook
Oorzaak SharePoint-lek ligt bij ‘onvolledige’ patch door Microsoft
Het lek zou een wake-up call moeten zijn voor middelgrote organisaties risico lopen, omdat zij vaak niet beschikken over permanente monitoring. Wie alleen vertrouwt op Microsoft Defender of enkel patcht, mist cruciale stappen in het herstelproces. De dreiging is niet weg zodra een systeem is bijgewerkt, al is snel patchen zeker een goede gewoonte.
Volgens Eye Security blijft het risico op ransomware en supply chain-aanvallen in de komende weken verhoogd. Organisaties worden geadviseerd om na te gaan of aanvallers al actief zijn binnen het netwerk – ook na het installeren van updates.