Microsoft SharePoint en het oog van de storm: Cybersecurity-risico’s verontrusten bedrijven wereldwijd

Microsoft SharePoint, het populaire platform voor zakelijke samenwerking en documentbeheer, is deze zomer een van de belangrijkste zorgen op het gebied van cybersecurity geworden. Recente massale exploitatiecampagnes van kritische kwetsbaarheden hebben duizenden servers over de hele wereld in gevaar gebracht, waaronder netwerken van multinationals, banken, telecomaanbieders, zorginstellingen en overheidsorganisaties.

De situatie, die als kritiek wordt beschouwd door experts en cybersecurity-agentschappen, heeft Microsoft gedwongen om noodupdates en mitigerende maatregelen uit te brengen; echter, deze zijn niet voldoende gebleken om de verspreiding van de aanvallen te stoppen.

Een kwetsbaarheid onthuld en actief uitgebuit

De oorsprong van het incident ligt in mei 2025, tijdens het ethische hacking-evenement Pwn2Own in Berlijn, waar een keten van kritische kwetsbaarheden in SharePoint werd gepresenteerd onder de naam ‘ToolShell’. Deze fouten, geïdentificeerd als CVE-2025-49704 en CVE-2025-49706, maken het mogelijk om op afstand code uit te voeren zonder authenticatie. Na een verantwoordelijke openbaarmaking erkende Microsoft deze als kritisch en publiceerde het patches begin juli.

Echter, het afgelopen weekend werd bevestigd dat deze patches onvoldoende waren: meerdere actieve cyberaanvals-campagnes maakten gebruik van een exploit-keten gebaseerd op ToolShell om de verdedigingen te omzeilen en achterdeurtjes, zoals spinstall0.aspx, te installeren, waardoor het mogelijk werd om cryptografische sleutels te stelen en volledige controle te krijgen over de getroffen servers. Deze keten is geregistreerd als CVE-2025-53770 en CVE-2025-53771, en worden geclassificeerd als zero-day kwetsbaarheden.

Ten minste 9.000 potentieel kwetsbare servers

Volgens gegevens verzameld door de consultancy Censys en het bedrijf Eye Security zijn meer dan 9.700 on-premise SharePoint-servers online blootgesteld. Tot nu toe zijn er ten minste 400 servers actief gecompromitteerd in vier golven van aanvallen tussen 17 en 21 juli, volgens wereldwijde telemetrie-logs.

Onder de betrokken organisaties bevindt zich de Nationale Veiligheidsadministratie van de VS, verantwoordelijk voor de Amerikaanse nucleaire voorraad, zoals gerapporteerd door Bloomberg, hoewel er geen openbare aanwijzingen zijn voor het lekken van geclassificeerde informatie.

Aantijgingen tegen groepen gelinkt aan de Chinese overheid

Microsoft heeft de exploitatie van deze kwetsbaarheden toegeschreven aan drie cyberespionagegroepen die verbonden zijn aan de Chinese overheid: Linen Typhoon, Violet Typhoon en Storm-2603. De laatste zou naast het stelen van inloggegevens en cryptografische sleutels ook ransomware Warlock hebben ingezet, zoals bevestigd door Microsoft Threat Intelligence.

De Chinese ambassade in de VS heeft deze beschuldigingen krachtig ontkend en ze als ongegrond bestempeld, waarbij ze hun verzet tegen ieder type cybercriminaliteit hebben herhaald.

Volharding zelfs na patchen

Een van de grootste bedreigingen van deze campagne is dat aanvallers zelfs na het toepassen van patches toegang kunnen behouden. Dit is mogelijk door het stelen van interne sleutels (Machine Keys) die het mogelijk maken om geldige tokens in SharePoint te genereren en op afstand met hogere rechten commando’s uit te voeren; een techniek die al gedocumenteerd is in eerdere RCE (Remote Code Execution) campagnes.

Organisaties zoals watchTowr Labs hebben gewaarschuwd dat mitigatie-maatregelen zoals het activeren van AMSI (Antimalware Scan Interface) niet voldoende zijn, en dat het cruciaal is om te patchen, cryptografische sleutels te roteren en alle getroffen SharePoint-servers opnieuw op te starten.

Dringende aanbevelingen van Microsoft en CISA

Microsoft heeft nieuwe beveiligingsupdates uitgegeven voor SharePoint Server 2016, 2019 en de Subscription-versie, met details over de patches KB5002760, KB5002754 en KB5002768. Daarnaast adviseert het om de ASP.NET-sleutels van de servers te roteren en IIS op alle systemen opnieuw op te starten als een kritische aanvullende stap.

De Cybersecurity and Infrastructure Security Agency (CISA) van de VS heeft de kwetsbaarheden opgenomen in hun catalogus van actief uitgevoerde bedreigingen en eist van federale agentschappen dat ze de correcties voor 23 juli 2025 aanbrengen.

Risico’s voor CISOs: toegang zonder authenticatie en laterale bewegingen

Verantwoordelijken voor beveiliging moeten begrijpen dat dit een keten van exploits is die aanvallers in staat stelt om:

• Op afstand code uit te voeren zonder netwerkreferenties.
• Gebruikers en interne services te imiteren.
• Sleutels te stelen die toegang bieden na patching.
• Ransomware uit te rollen en laterale bewegingen in het Windows-domein uit te voeren.

Bovendien vergroot de gebruikelijke verbinding van SharePoint met andere diensten zoals Teams, OneDrive en Outlook de impact van de compromittering.

Wat moeten organisaties nu doen?

Volgens Eye Security en Microsoft dienen organisaties die gebruikmaken van on-premise SharePoint onmiddellijk maatregelen te nemen:

1. Breng de laatste patches van Microsoft aan.
2. Rotateer de Machine Keys en start IIS opnieuw op op alle SharePoint-servers.
3. Zoek naar indicatoren van compromittering, zoals de bestanden spinstall0.aspx en verbindingen met domeinen zoals update.updatemicfosoft.com.
4. Isoler of schakel gecompromitteerde servers uit, vernieuw credentials en raadpleeg gespecialiseerde teams voor incidentrespons.

Onderzoekers hebben ook indicatoren van compromittering (IOC) gedeeld, waaronder IP-adressen, bestands-hashes en specifieke ketens in IIS-logs die helpen bij het detecteren van malafide activiteiten.

Een verontrustend precedent voor zakelijke omgevingen

Dit incident is een van de ernstigste in de recente geschiedenis van SharePoint en benadrukt de kwetsbaarheid van on-premise systemen voor geavanceerde en snelle aanvallen. Het werpt ook ernstige twijfels op over de reactietijden en de effectiviteit van patches tegen kritische kwetsbaarheden in missiekritische omgevingen.

Zoals Eye Security concludeert: “dit is geen theoretisch risico: het is een lopende operationele bedreiging. Degenen die nu niet handelen, kunnen zonder het te weten gecompromitteerd zijn.”

Meer informatie en updates:

Dit artikel is samengesteld met technisch geverifieerde informatie en officiële bronnen zoals Eye Security, Microsoft Threat Intelligence, CISA en gespecialiseerde media.