Kritieke SharePoint Zero-Day Kwetsbaarheid Actief Misbruikt

TL;DR: Een kritieke zero-day kwetsbaarheid in Microsoft SharePoint Server (CVE-2025-53770) wordt actief misbruikt door cybercriminelen. Meer dan 85 servers wereldwijd zijn al gecompromitteerd, waarbij 29 organisaties zijn getroffen. Er is nog geen patch beschikbaar.

Wat is er aan de hand?

Microsoft heeft op 19 juli waarschuwing uitgebracht voor een kritieke zero-day kwetsbaarheid in SharePoint Server die actief wordt misbruikt. De kwetsbaarheid, geïdentificeerd als CVE-2025-53770, stelt een aanvaller in staat om ongeautoriseerde code uit te voeren op de kwetsbare SharePoint Server.

Microsoft is aware of active attacks targeting on-premises SharePoint Server customers, maar SharePoint Online (Microsoft 365) is niet getroffen.

Technische details

De kwetsbaarheid is een variant van de eerder gepatchte CVE-2025-49706 uit de ToolShell-aanvalsketen. The malicious activity essentially involves delivering ASPX payloads via PowerShell, which is then used to steal the SharePoint server’s MachineKey configuration.

Zo werkt de aanval:

• Aanvallers sturen een POST-request naar /_layouts/15/ToolPane.aspx
• Met een HTTP-referer header van /_layouts/SignOut.aspx
• Dit omzeilt authenticatie en leidt tot remote code execution
• Een bestand genaamd “spinstall0.aspx” wordt geüpload om cryptografische sleutels te stelen

Impact en slachtoffers

De cijfers zijn zorgwekkend:

• 85+ gecompromitteerde SharePoint-servers wereldwijd
• 29 organisaties getroffen, waaronder multinationals en overheidsinstanties
• Active attacks targeting on-premises SharePoint Server customers sinds 18 juli

Eye Security, het Nederlandse cybersecuritybedrijf dat de aanvallen ontdekte, waarschuwt dat “adversaries are laterally moving using this remote code execution with speed”.

Wat kunnen organisaties doen?

Onmiddellijke acties:

1. AMSI-integratie inschakelen - Dit is de primaire bescherming die Microsoft aanbeveelt
2. Microsoft Defender AV implementeren op alle SharePoint-servers
3. Servers offline halen als AMSI niet kan worden ingeschakeld
4. Controleren op compromise - zoek naar het bestand spinstall0.aspx in de SharePoint-mappen

Microsoft werkt op dit moment aan updates om de kwetsbaarheid te verhelpen. Vooralsnog zijn uitsluitend mitigerende maatregelen beschikbaar.

Conclusie

Deze zero-day kwetsbaarheid toont opnieuw aan hoe snel cybercriminelen nieuwe kwetsbaarheden kunnen weaponiseren. Microsoft also states: “If you cannot enable AMSI, we recommend you consider disconnecting your server from the internet until a security update is available”.

Organisaties met on-premises SharePoint-servers moeten direct actie ondernemen. Het is een race tegen de klok voordat meer systemen worden gecompromitteerd.

Bronnen:

• SANS Internet Storm Center
• BleepingComputer
• The Hacker News
• NCSC Nederland