Het verhaal rondom de zero-day in Microsoft SharePoint blijft zich ontwikkelen. Inmiddels is het duidelijk dat er ook ransomware-aanvallen zijn uitgevoerd.

Zoals al eerder gemeld, lijken vooral Chinese statelijke actoren of in ieder geval hackers met banden met de Chinese overheid te zijn die erachter zitten. De aanvallen richten zich specifiek op niet-gepatchte systemen en maken gebruik van onder meer Warlock-ransomware. Dit stelt Microsoft in een blog.

Op 19 juli publiceerde het Microsoft Security Response Center een analyse van actieve aanvallen die gebruikmaken van twee recent ontdekte kwetsbaarheden: CVE-2025-49706 (spoofing) en CVE-2025-49704 (remote code execution). Beide kwetsbaarheden treffen enkel lokale SharePoint-installaties en vormen geen risico voor SharePoint Online in Microsoft 365. Desondanks is de ernst aanzienlijk, zeker gezien de betrokkenheid van statelijke actoren.

Microsoft heeft beveiligingsupdates uitgebracht voor alle ondersteunde versies van SharePoint Server, waaronder de Subscription Edition, 2019 en 2016. De updates pakken niet alleen de genoemde kwetsbaarheden aan, maar ook gerelateerde problemen: CVE-2025-53770 en CVE-2025-53771.

Drie Chinese dreigingsgroepen

Bijzonder zorgwekkend is de betrokkenheid van drie Chinese dreigingsgroepen. Linen Typhoon en Violet Typhoon worden actief waargenomen bij het gericht aanvallen van systemen die via het internet toegankelijk zijn. Een derde actor, Storm-2603, gebruikt dezelfde kwetsbaarheden om ransomware te installeren. Microsoft waarschuwt dat de snelheid waarmee deze exploits worden overgenomen, wijst op een bredere adoptie door andere kwaadwillende partijen.

Om deze dreiging het hoofd te bieden adviseert Microsoft organisaties dringend om systemen te updaten, AMSI in volledige modus te activeren, Defender Antivirus in te schakelen, ASP.NET-machinekeys te roteren en IIS opnieuw te starten. Het gebruik van endpointdetectieoplossingen zoals Microsoft Defender for Endpoint is eveneens aanbevolen.

