— UPDATE —
Microsoft heeft patches uitgebracht voor twee kritieke kwetsbaarheden in SharePoint Server — CVE-2025-53770 en CVE-2025-53771 — die momenteel actief worden misbruikt. Door deze kwetsbaarheden kunnen aanvallers op afstand kwaadaardige code uitvoeren en zo volledige controle krijgen over on-premises SharePoint-servers.
De updates zijn beschikbaar voor SharePoint Server 2019 en SharePoint Server Subscription Edition. Voor SharePoint Server 2016 werkt Microsoft nog aan een oplossing. Het bedrijf roept klanten dringend op om de beveiligingsupdates zo snel mogelijk te installeren.
Deze kwetsbaarheden stellen aanvallers in staat om niet-geautoriseerde code uit te voeren op lokaal gehoste SharePoint-systemen. Deze servers worden vaak door organisaties en overheden gebruikt voor documentbeheer en samenwerking. De cloudvariant, SharePoint Online (Microsoft 365), is volgens Microsoft niet getroffen.
Het Nationaal Cyber Security Centrum (NCSC) bevestigt dat de kwetsbaarheid actief wordt misbruikt. Het centrum benadrukt dat dit probleem losstaat van het recent ontdekte lek in de Citrix NetScaler-software.
Volgens onderzoekers die met Bloomberg spraken lopen wereldwijd ruim 10.000 organisaties risico, met name in de Verenigde Staten en Nederland. Het Nederlandse beveiligingsbedrijf Eye Security meldt dat sinds 18 juli tientallen SharePoint-servers daadwerkelijk zijn aangevallen.
Microsoft heeft bevestigd dat aanvallers momenteel misbruik maken van een zero-day variant (CVE-2025-53770) van een eerder gepatchte kwetsbaarheid in SharePoint (CVE-2025-49706). Deze kwetsbaarheid maakt het mogelijk om op afstand code uit te voeren op kwetsbare SharePoint-servers die lokaal worden gehost.
—-
Wat houdt CVE-2025-53770 in?
De kwetsbaarheid wordt gebruikt om een backdoor te plaatsen op kwetsbare on-premises SharePoint-servers en om beveiligingssleutels van het systeem buit te maken. Daarmee verkrijgen aanvallers volledige controle over de getroffen machines.
Er is op dit moment nog geen patch beschikbaar. Microsoft adviseert organisaties die on-premises SharePoint draaien om de Antimalware Scan Interface (AMSI)-integratie te configureren en Defender Antivirus op alle SharePoint-servers te installeren.
Volgens Microsoft is AMSI standaard ingeschakeld sinds:
- De beveiligingsupdate van september 2023 voor SharePoint Server 2016/2019
- De 23H2 feature-update voor SharePoint Server Subscription Edition
Indien AMSI niet kan worden geactiveerd, wordt geadviseerd om internettoegang tot de SharePoint-server volledig te blokkeren. Daarnaast raadt Microsoft aan om Defender for Endpoint te implementeren om post-exploit activiteit op te sporen en te blokkeren.
Technische achtergrond
CVE-2025-53770 ontstaat door het deserialiseren van onbetrouwbare data in SharePoint. Dit kan leiden tot niet-geauthenticeerde remote code execution, zonder dat gebruikersinteractie vereist is. De volgende versies zijn kwetsbaar:
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Enterprise Server 2016
- Microsoft SharePoint Server Subscription Edition
SharePoint Online (Microsoft 365) is niet kwetsbaar.
De kwetsbaarheid is een variant van CVE-2025-49706 (authentication bypass), die eerder samen met CVE-2025-49704 (code injection) werd gebruikt in een aanval (“ToolShell”) die werd gepresenteerd tijdens de Pwn2Own-wedstrijd in mei 2025.
Na het openbaar maken van proof-of-concept materiaal en technische details door onderzoekers, wisten aanvallers snel een variant te ontwikkelen en op internet toegankelijke SharePoint-servers gericht aan te vallen.
Actief misbruik vastgesteld
Het Nederlandse beveiligingsbedrijf Eye Security meldt dat de kwetsbaarheid sinds ten minste 18 juli actief wordt misbruikt. Tijdens hun onderzoek trof het team geen standaard webshells aan, maar een subtielere en gevaarlijkere backdoor: een bestand genaamd spinstall0.aspx. Dit bestand lekt cryptografische sleutels van de SharePoint-server via een eenvoudige GET-aanvraag.
Deze pagina maakte gebruik van interne .NET-methodes om configuratiesleutels zoals de ValidationKey en DecryptionKey uit te lezen. Met deze sleutels kunnen aanvallers legitieme __VIEWSTATE payloads genereren, wat leidt tot remote code execution op geauthenticeerde verzoeken.
Eye Security ontdekte binnen enkele uren tientallen gecompromitteerde servers met exact hetzelfde bestandspad. Deze bevindingen zijn gedeeld met nationale CERTs en getroffen organisaties in Europa. Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft aanvullende slachtoffers geïdentificeerd.
Aanbevelingen voor organisaties
Organisaties die hun on-premises SharePoint-servers pas ná de eerste aanvalsgolf hebben afgeschermd of beveiligd met AMSI en Defender, worden geadviseerd om:
- Serverlogboeken te controleren op sporen van misbruik (Indicators of Compromise – IoCs)
- De IoCs-lijst van Eye Security (regelmatig bijgewerkt) en die van Palo Alto Networks te raadplegen
- Microsoft’s klantadviezen te volgen
Bij vaststelling van een compromittering moeten getroffen servers worden geïsoleerd of uitgeschakeld en alle wachtwoorden en cryptografische sleutels worden vernieuwd. Alleen patchen is niet voldoende: met de buitgemaakte sleutels kunnen aanvallers tokens genereren en zich blijven voordoen als gebruikers of services, ook na een update.
In veel gevallen kan het noodzakelijk zijn om externe incident response-specialisten in te schakelen, vooral omdat SharePoint vaak is gekoppeld aan kernsystemen zoals Outlook, Teams en OneDrive. Een inbreuk kan dan leiden tot verdere datadiefstal en beweging door het netwerk.
Overheidsmaatregelen
Het Amerikaanse CISA heeft CVE-2025-53770 toegevoegd aan de lijst van Known Exploited Vulnerabilities en alle federale overheidsinstanties opgedragen om vóór 21 juli maatregelen te nemen.