Hackers voeren ransomware-aanvallen uit via SharePoint zero-day

Het verhaal rondom de zero-day in Microsoft SharePoint blijft zich ontwikkelen. Inmiddels is het duidelijk dat er ook ransomware-aanvallen zijn uitgevoerd.

Zoals al eerder gemeld, lijken vooral Chinese statelijke actoren of in ieder geval hackers met banden met de Chinese overheid te zijn die erachter zitten. De aanvallen richten zich specifiek op niet-gepatchte systemen en maken gebruik van onder meer Warlock-ransomware. Dit stelt Microsoft in een blog.

Op 19 juli publiceerde het Microsoft Security Response Center een analyse van actieve aanvallen die gebruikmaken van twee recent ontdekte kwetsbaarheden: CVE-2025-49706 (spoofing) en CVE-2025-49704 (remote code execution). Beide kwetsbaarheden treffen enkel lokale SharePoint-installaties en vormen geen risico voor SharePoint Online in Microsoft 365. Desondanks is de ernst aanzienlijk, zeker gezien de betrokkenheid van statelijke actoren.

Microsoft heeft beveiligingsupdates uitgebracht voor alle ondersteunde versies van SharePoint Server, waaronder de Subscription Edition, 2019 en 2016. De updates pakken niet alleen de genoemde kwetsbaarheden aan, maar ook gerelateerde problemen: CVE-2025-53770 en CVE-2025-53771.

Drie Chinese dreigingsgroepen

Bijzonder zorgwekkend is de betrokkenheid van drie Chinese dreigingsgroepen. Linen Typhoon en Violet Typhoon worden actief waargenomen bij het gericht aanvallen van systemen die via het internet toegankelijk zijn. Een derde actor, Storm-2603, gebruikt dezelfde kwetsbaarheden om ransomware te installeren. Microsoft waarschuwt dat de snelheid waarmee deze exploits worden overgenomen, wijst op een bredere adoptie door andere kwaadwillende partijen.

Om deze dreiging het hoofd te bieden adviseert Microsoft organisaties dringend om systemen te updaten, AMSI in volledige modus te activeren, Defender Antivirus in te schakelen, ASP.NET-machinekeys te roteren en IIS opnieuw te starten. Het gebruik van endpointdetectieoplossingen zoals Microsoft Defender for Endpoint is eveneens aanbevolen.

Lees ook: Microsoft SharePoint zero-day: wat weten we en waar ging het mis?

Lees meer over Security

Expert aan het woord

Hackers voeren ransomware-aanvallen uit via SharePoint zero-day

Drie Chinese dreigingsgroepen

Blijf op de hoogte, abonneer!

24.000 ontslagen bij Intel, geen nieuwe fabrieken in Europa

AI overviews bedreigen mediabranche: Cloudflare’s 402-oplossing

NLdigital wil autonomie in plaats van soevereiniteit, maar voor wie?

Microsoft SharePoint zero-day: wat weten we en waar ging het mis?

The impact of OpsRamp on HPE and its integration into the stack

Why does Digital Realty standardize on HPE for operations?

Managing the AI chaos with ServiceNow's AI Control Tower

Better servers and storage have direct impact on wine sales and marketing

Uitbreiding IT4OT-keten brengt nieuwe securityrisico’s én kansen met zich mee

Digitale soevereiniteit: hype of noodzaak?

Agile & AI: een sterke combo voor werkversnelling

Hostingomgeving met volledige controle: wanneer en voor wie?

GITEX DIGI_HEALTH 5.0 - Thailand

IT Arena

Innovation Week 2025

Luxembourg Venture Days

Appdevcon

Webdevcon

Welk workstation past bij jouw AI-ambities?

Is jouw endpointbeveiliging op orde?

Hoe maak je duurzaamheid echt praktisch?

Verbeter je digitale ervaringen met de Cisco AI Assistant