Microsoft waarschuwt voor een kritieke zero-day kwetsbaarheid in SharePoint Server die op grote schaal wordt misbruikt. Noodpatches zijn sinds 20 juli beschikbaar.
De kwetsbaarheid, geregistreerd als CVE-2025-53770, stelt aanvallers in staat om op afstand code uit te voeren op getroffen servers. Volgens Microsoft worden enkel on-premises SharePoint-installaties getroffen; SharePoint Online in Microsoft 365 is niet vatbaar voor deze aanval.
Het bedrijf meldt dat het sinds 18 juli actief aanvallen detecteert die gebruikmaken van deze kwetsbaarheid. De aanvallers blijken in staat om bestaande beveiligingsmaatregelen te omzeilen die eerder waren geïntroduceerd als onderdeel van updates in juli. Deze nieuwe aanvalsmethoden grijpen terug op een eerder ontdekt lek dat in mei al werd gedemonstreerd tijdens het Pwn2Own-evenement in Berlijn, waar onderzoekers het mogelijk maakten om door middel van een enkele aanvraag volledige controle te krijgen over een server.
Noodpatches nu beschikbaar
Microsoft heeft inmiddels noodpatches uitgebracht voor SharePoint Server 2019 en de Subscription Edition. Een update voor SharePoint Server 2016 is op dit moment nog in ontwikkeling, maar zal spoedig volgen. Klanten die deze versies draaien, wordt dringend geadviseerd om de beschikbare updates onmiddellijk te installeren. Als dat niet mogelijk is, raadt Microsoft aan om de betreffende servers tijdelijk van het internet los te koppelen om verdere schade te voorkomen.
Om verdere aanvallen te mitigeren, beveelt Microsoft aan om AMSI (Antimalware Scan Interface) in te schakelen en Defender Antivirus op alle SharePoint-servers te installeren. AMSI is sinds september 2023 standaard ingeschakeld, maar moet in sommige gevallen handmatig geverifieerd worden. Daarnaast adviseert het bedrijf om machinekeys van ASP.NET te roteren na het toepassen van de updates of het activeren van AMSI. Zo wordt voorkomen dat eerder gestolen validatiesleutels nog gebruikt kunnen worden door kwaadwillenden.
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de kwetsbaarheid inmiddels toegevoegd aan zijn catalogus van bekende bedreigingen en verplicht overheidsinstellingen om binnen 24 uur na beschikbaarheid van een patch actie te ondernemen. Diverse cyberbeveiligingsbedrijven, waaronder het Nederlandse Eye Security, bevestigen inmiddels tientallen inbreuken bij zowel commerciële als publieke organisaties wereldwijd.
Microsoft heeft in zijn technische documentatie instructies gedeeld om na te gaan of een SharePoint-server is gecompromitteerd. Systemen waarbij het verdachte bestand ‘spinstall0.aspx’ aanwezig is of verdachte HTTP-aanvragen zijn geregistreerd in de IIS-logs, moeten als gecompromitteerd worden beschouwd. Organisaties worden aangeraden om onmiddellijk een forensisch onderzoek te starten en getroffen systemen offline te halen.