De onlangs bekendgemaakte kritische Microsoft SharePoint -kwetsbaarheid is al in 7 juli 2025 te exploiteren, volgens bevindingen van Check Point Research.
Het Cybersecurity Company zei dat het de eerste exploitatiepogingen waargenomen die zich richten op een niet nader genoemde grote westerse regering, met de activiteit die op 18 en 19 juli intensiverend is, over de overheids-, telecommunicatie- en softwaresectoren in Noord -Amerika en West -Europa.
Check Point zei ook dat de exploitatie-inspanningen afkomstig waren van drie verschillende IP-adressen-104.238.159 (.) 149, 107.191.58 (.) 76 en 96.9.125 (.) 147-waarvan er één eerder gebonden was aan de wapens van beveiligingsfouten in Ivanti Endpoint Manager (EPM) Appeances (CVE-2025-4427 en EPM) Appeances (CVE-2025-4427 en EPM) Appeities (CVE-2025-4427-25-4427 en EPM) CVE-2025-4428).
“We zijn getuige van een dringende en actieve dreiging: een kritische zero-day in SharePoint on-prem wordt in het wild uitgebuit, waardoor duizenden wereldwijde organisaties in gevaar worden gebracht,” vertelde Lotem Finkelstein, directeur van Threat Intelligence bij Check Point Research, aan The Hacker News.
“Ons team heeft sinds 7 juli tientallen compromispogingen in de overheids-, telecom- en technische sectoren bevestigd. We dringen er sterk op aan om hun beveiligingssystemen onmiddellijk bij te werken-deze campagne is zowel geavanceerd als snel bewegend.”
De aanvalsketens zijn waargenomen met behulp van CVE-2025-53770, een nieuw gepatchte externe code-uitvoeringsfout in SharePoint Server, en het chainen met CVE-2025-49706, een spoofing-kwetsbaarheid die werd gepatcht door Microsoft als onderdeel van zijn juli 2025-patch dinsdag update, om initiële toegang en escalate voorrechten te krijgen.
Het is de moeite waard om in dit stadium te vermelden dat er twee sets kwetsbaarheden in SharePoint zijn die deze maand aan het licht zijn gekomen –
- CVE-2025-49704 (CVSS -score: 8.8) – Kwetsbaarheid van Microsoft SharePoint Remote Code -uitvoering (vastgesteld op 8 juli 2025)
- CVE-2025-49706 (CVSS -score: 7.1) – Kwetsbaarheid van Microsoft SharePoint Server (vastgelegd op 8 juli 2025)
- CVE-2025-53770 (CVSS -score: 9.8) – Kwetsbaarheid van Microsoft SharePoint Server Remote Code Uitvoering
- CVE-2025-53771 (CVSS -score: 7.1) – Kwetsbaarheid van Microsoft SharePoint Server Spoofing
CVE-2025-49704 en CVE-2025-49706, gezamenlijk aangeduid als Toolshell, is een exploitatieketen die kan leiden tot externe code-uitvoering op SharePoint Server-instanties. Ze werden oorspronkelijk bekendgemaakt door Viettel Cyber Security tijdens de PWN2own 2025 -hackcompetitie eerder in mei.
CVE-2025-53770 en CVE-2025-53771, die in het weekend aan het licht kwamen, zijn beschreven als varianten van CVE-2025-49704 en CVE-2025-49706, wat aangeeft dat ze bypasses zijn voor de oorspronkelijke fixes die eerder deze maand in de plaats worden geplaatst.
Dit blijkt uit het feit dat Microsoft actieve aanvallen heeft erkend met “kwetsbaarheden die gedeeltelijk worden aangepakt door de beveiligingsupdate van juli”. Het bedrijf merkte ook in zijn adviezen op dat de updates voor CVE-2025-53770 en CVE-2025-53771 “meer robuuste bescherming” omvatten dan de updates voor CVE-2025-49704 en CVE-2025-49706. Het merkt echter op dat CVE-2025-53771 niet door Redmond is gemarkeerd zoals actief geëxploiteerd in het wild.
“CVE-2025-53770 maakt gebruik van een zwakte in hoe Microsoft SharePoint-server de deserialisatie van niet-vertrouwde gegevens behandelt,” zei Martin Zugec, directeur van Technical Solutions bij Bitdefender. “Aanvallers maken gebruik van deze fout om niet -geauthenticeerde externe code -uitvoering te krijgen.”
Dit wordt op zijn beurt bereikt door kwaadaardige ASP.NET -webschalen te implementeren die gevoelige cryptografische toetsen programmatisch extraheren. Deze gestolen toetsen worden vervolgens gebruikt om kwaadwillende __viewState -payloads te maken en te ondertekenen, waardoor persistente toegang wordt vastgesteld en de uitvoering van willekeurige opdrachten op SharePoint Server mogelijk wordt gemaakt.
Volgens Bitdefender Telemetry is exploitatie in het wild ontdekt in de Verenigde Staten, Canada, Oostenrijk, Jordanië, Mexico, Duitsland, Zuid-Afrika, Zwitserland en Nederland, wat duidt op wijdverbreid misbruik van de fout.
Palo Alto Networks Unit 42, in zijn eigen analyse van de campagne, zei dat het opdrachten werd uitgevoerd om een Base64-gecodeerde PowerShell-opdracht uit te voeren, die een bestand maakt op de locatie “C: progra ~ 1 Common ~ 1 Micros ~ 1 Webser ~ 1 16 Sjabloon Sjabloon Layouts SpinStall0.aspx” en toenparen zijn inhoud.
“Het spinStall0.aspx -bestand is een web shell die verschillende functies kan uitvoeren om ValidationKeys, DecodetKeys en de compatibiliteitsmode van de server op te halen, die nodig zijn om viewstate -coderingsleutels te smeden,” zei Unit 42 in een dreigingsbrief.
In een advies dat maandag werd uitgegeven, zei Sentinelone dat het voor het eerst uitbuiting op 17 juli detecteerde, waarbij het cybersecuritybedrijf drie “afzonderlijke aanvalsclusters” identificeerde, waaronder door de staat afgestemde dreigingsactoren, die zich bezighouden met verkennings- en vroege exploitatieactiviteiten.
Doelstellingen van de campagnes omvatten technologieadvies, productie, kritieke infrastructuur en professionele diensten gekoppeld aan gevoelige architectuur- en technische organisaties.
“De vroege doelen suggereren dat de activiteit aanvankelijk zorgvuldig selectief was, gericht op organisaties met strategische waarde of verhoogde toegang,” zeiden onderzoekers Simon Kenin, Jim Walter en Tom Hegel.
Analyse van de aanvalsactiviteit heeft het gebruik van een wachtwoordbeveiligde ASPX-webshell (“XXX.aspx”) op 18 juli 2025, om 9:58 AM GMT, onthuld. De Web Shell ondersteunt drie functies: authenticatie via een ingesloten vorm, opdrachtuitvoering via cmd.exe en bestandsupload.
Er zijn daaropvolgende exploitatie -inspanningen gebleken om de webshell “spinStall0.aspx” te gebruiken om gevoelig cryptografisch materiaal van de host te extraheren en bloot te stellen.
SpinStall0.aspx is “geen traditionele commandowebshell maar eerder een verkennings- en persistentie -hulpprogramma”, legden de onderzoekers uit. “Deze code extraheert en drukt de machinebestrijdingswaarden van de host af, inclusief de instellingen van de ValidationKey-, DecryptionKey- en Cryptografische modus-informatie die cruciaal is voor aanvallers die aanhoudende toegang willen behouden via load-balanced SharePoint-omgevingen of om authenticatietokens te smeden.”
In tegenstelling tot andere webschalen die doorgaans op internet-blootgestelde servers worden gedropt om toegang op afstand te vergemakkelijken, lijkt SpinStall0.aspx te zijn ontworpen met de enige bedoeling om cryptografische geheimen te verzamelen die vervolgens kunnen worden gebruikt om authenticatie of sessietokens te smeden in SharePoint-instanties.
Deze aanvallen, per crowdstrike, beginnen met een speciaal vervaardigd HTTP -postverzoek aan een toegankelijke SharePoint -server die probeert spinStall0.aspx te schrijven via PowerShell, per crowdstrike. Het bedrijf zei dat het honderden exploitatiepogingen blokkeerde in meer dan 160 klantomgevingen.
Sentinelone ontdekte ook een cluster genaamd “No Shell” dat een “meer geavanceerde en heimelijke aanpak” nam voor andere dreigingsactoren door te kiezen voor de uitvoering van de Memory .NET-module zonder payloads op schijf te laten vallen. De activiteit is afkomstig van het IP -adres 96.9.125 (.) 147.
“Deze aanpak compliceert detectie en forensisch herstel aanzienlijk, onderstreept de dreiging van na-exploitatietechnieken na de Fileless na exploitatie,” zei het bedrijf, waarbij hij stelde dat het een “bekwame rode teamemulatieoefening is of het werk van een capabele bedreigingsacteur met een focus op evasieve toegang en geloofsbrieven.”
Het is momenteel niet bekend wie achter de aanvalsactiviteit zit, hoewel Google-eigendom Mandiant de vroege uitbuiting heeft toegeschreven aan een China-uitgelijnde hackinggroep.
Uit gegevens van Censys blijkt dat er online 9.762 on-premises SharePoint-servers zijn, hoewel het momenteel niet bekend is of ze allemaal vatbaar zijn voor de fouten. Aangezien SharePoint -servers een lucratief doelwit zijn voor dreigingsactoren vanwege de aard van gevoelige organisatiegegevens die erin zijn opgeslagen, is het essentieel dat gebruikers snel bewegen om de fixes toe te passen, de sleutels te roteren en de instanties opnieuw te starten.
“We beoordelen dat ten minste een van de actoren die verantwoordelijk zijn voor de vroege uitbuiting een China-Nexus-dreigingsacteur is,” zei Charles Carmakal, CTO, Mandiant Consulting bij Google Cloud, in een bericht over LinkedIn. “We zijn op de hoogte van slachtoffers in verschillende sectoren en wereldwijde regio’s. De activiteit omvatte voornamelijk de diefstal van machinaalsleutelmateriaal dat zou kunnen worden gebruikt om toegang te krijgen tot slachtofferomgevingen nadat de patch is toegepast.”
