Microsoft heeft recent gewaarschuwd voor een ernstige zero-day kwetsbaarheid in SharePoint Server, geregistreerd als CVE-2025-53770. Deze kwetsbaarheid wordt momenteel op grote schaal misbruikt en stelt aanvallers in staat om op afstand kwaadaardige code uit te voeren op getroffen servers. Het is belangrijk om te benadrukken dat alleen on-premises SharePoint-installaties kwetsbaar zijn; SharePoint Online in Microsoft 365 is niet vatbaar voor deze aanval.
Wat is er aan de hand?
Sinds 18 juli detecteert Microsoft actieve aanvallen die gebruikmaken van deze kwetsbaarheid. De aanvallers weten bestaande beveiligingsmaatregelen te omzeilen die eerder in juli zijn geïntroduceerd. De aanvalsmethode is gebaseerd op een eerder ontdekt lek dat in mei werd gedemonstreerd tijdens het Pwn2Own-evenement in Berlijn. Onderzoekers toonden toen aan dat het mogelijk is om met slechts één aanvraag volledige controle over een server te verkrijgen.
Beschikbare Noodpatches
Microsoft heeft inmiddels noodpatches uitgebracht voor SharePoint Server 2019 en de Subscription Edition. Voor SharePoint Server 2016 is een update nog in ontwikkeling, maar wordt spoedig verwacht. Klanten die deze versies gebruiken, wordt dringend geadviseerd om de updates onmiddellijk te installeren. Indien dit niet mogelijk is, raadt Microsoft aan om de betreffende servers tijdelijk van het internet los te koppelen om verdere schade te voorkomen.
Aanbevolen Maatregelen
Om verdere aanvallen te mitigeren, adviseert Microsoft het volgende:
- Schakel AMSI (Antimalware Scan Interface) in: AMSI is sinds september 2023 standaard ingeschakeld, maar controleer of dit ook daadwerkelijk het geval is.
- Installeer Defender Antivirus op alle SharePoint-servers.
- Roteer ASP.NET machinekeys na het toepassen van de updates of het activeren van AMSI. Dit voorkomt dat eerder gestolen validatiesleutels opnieuw worden gebruikt.
Detectie en Respons
Het Amerikaanse CISA heeft deze kwetsbaarheid toegevoegd aan zijn catalogus van bekende bedreigingen en verplicht overheidsinstellingen om binnen 24 uur na beschikbaarheid van een patch actie te ondernemen. Diverse beveiligingsbedrijven, waaronder het Nederlandse Eye Security, melden inmiddels tientallen inbreuken bij zowel commerciële als publieke organisaties wereldwijd.
Microsoft heeft technische documentatie gepubliceerd met instructies om te controleren of een SharePoint-server is gecompromitteerd. Let hierbij op het verdachte bestand spinstall0.aspx of verdachte HTTP-aanvragen in de IIS-logs. Indien deze worden aangetroffen, wordt aangeraden om direct een forensisch onderzoek te starten en de getroffen systemen offline te halen.
Hulp nodig?
Mocht u of uw organisatie hulp nodig hebben dan horen wij het graag. Onze klanten zijn inmiddels gecontroleerd.
