Microsoft heeft noodbeveiligingsupdates uitgebracht om een kritieke kwetsbaarheid in zijn on-premises SharePoint Server aan te pakken, waarschuwing dat de fout momenteel in het wild wordt uitgebuit. Het technologiebedrijf maakte ook een tweede bekend, gerelateerde kwetsbaarheid.
Kritieke fout CVE-2025-53770 maakt uitvoering van code op afstand mogelijk
CVE-2025-53770 is een kritiek beveiligingsprobleem met een CVSS-score van 9.8. Het gebrek is het gevolg van onveilige deserialisatie van niet-vertrouwde gegevens, waardoor aanvallers externe code uitvoeren op kwetsbare SharePoint-servers. Het lijkt erop dat alleen on-premises installaties vatbaar zijn voor deze kwetsbaarheid, waarbij SharePoint Online onaangetast blijft.
Deze kwetsbaarheid wordt beschouwd als een variant van CVE-2025-49706, onderdeel van een eerder bekende exploitketen genaamd ToolShell, die Microsoft eerder deze maand heeft gepatcht.
CVE-2025-53771 Extra spoofing-kwetsbaarheid bekendgemaakt
Naast de kritieke kwestie, Microsoft heeft ook een tweede bug onthuld, CVE-2025-53771 met CVSS-score van 6.3, waarbij sprake is van een zwakte in de padtraversal, waardoor geauthenticeerde aanvallers inhoud op het netwerk kunnen vervalsen. deze fout, ook, heeft alleen betrekking op zelfgehoste versies van SharePoint en is privé gemeld door een anonieme beveiligingsonderzoeker.
Zowel CVE-2025-53770 als CVE-2025-53771 zijn gekoppeld aan eerder gepatchte bugs (CVE-2025-49704 en CVE-2025-49706) en hebben nu uitgebreidere updates ontvangen om het risico op misbruik te beperken.
Omvang van de aanvallen
Het cybersecuritybedrijf Eye Security heeft bevestigd dat er minstens 54 organisaties, inclusief banken, universiteiten, en overheidsinstanties, zijn al slachtoffer geworden van deze aanhoudende aanvalscampagne. Er wordt aangenomen dat de exploitatieactiviteit rond juli is begonnen 18, targeting-systemen die aan het internet zijn blootgesteld.
CVE-2025-53770 is toegevoegd aan de Bekende misbruikte kwetsbaarheden (KEV) catalogus door de VS. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA), die alle agentschappen van de Federal Civilian Executive Branch ertoe aanzet om de benodigde patches vóór juli te installeren 21.
Waarom patchen niet voldoende is
Veiligheidsexperts benadrukken dat het toepassen van patches slechts een deel van de oplossing is. Volgens de afdeling van Palo Alto Networks 42, aanvallers omzeilen multi-factor-authenticatie (MFA) en eenmalige aanmelding (SSO) systemen om bevoorrechte toegang te verkrijgen. Eenmaal binnen, ze exfiltreren gegevens, het installeren van persistente malware, en het stelen van encryptiesleutels, wat een bredere bedreiging vormt voor het Microsoft-ecosysteem.
Eenheid 42 waarschuwde dat organisaties rekening moeten houden met een risico als ze SharePoint-servers met internetverbinding gebruiken. Gezien de diepe integratie van SharePoint met diensten zoals Office, teams, Een schijf, en Outlook, elke inbreuk kan aanvallers toegang geven tot de meest gevoelige gegevens van een organisatie.
Ze benadrukten ook dat het loskoppelen van kwetsbare SharePoint-instanties van het internet noodzakelijk kan zijn als een onmiddellijke verdedigingsmaatregel.
Aanbevolen acties voor klanten
Om het risico te verminderen en de potentiële schade te minimaliseren, Microsoft adviseert organisaties om de volgende stappen te ondernemen:
- Alle SharePoint-servers bijwerken 2016, 2019, en Subscription Edition-installaties
- Pas de nieuwste beveiligingsupdates voor SharePoint toe
- Activeer Antimalware Scan Interface (AMSI) en zet het op de volledige modus
- Gebruik Microsoft Defender voor Endpoint of een andere vergelijkbare EDR-oplossing
- Draai de ASP.NET-machinesleutels en start IIS opnieuw op alle SharePoint-servers na het patchen
In gevallen waarin AMSI niet kan worden ingeschakeld, Microsoft raadt ten zeerste aan om de machinesleutels na de update te roteren als een cruciale stap.
Gepatchte versies
De volgende versies bevatten de nieuwste beschermingen:
- Microsoft SharePoint Server 2019 (16.0.10417.20027)
- SharePoint Enterprise Server 2016 (16.0.5508.1000)
- SharePoint Server-abonnementseditie
- SharePoint-server 2019 Kern
- SharePoint-server 2016 (update in behandeling)
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: