De Amerikaanse cybersecurity en infrastructuurbeveiligingsbureau (CISA), op 22 juli 2025, heeft twee Microsoft SharePoint-fouten toegevoegd, CVE-2025-49704 en CVE-2025-49706, aan de bekende exploitatedulnerabilities (KEV) -catalogus, op basis van bewijs van actieve exploitatie.
Daartoe zijn agentschappen van de Federal Civilian Executive Branch (FCEB) verplicht om geïdentificeerde kwetsbaarheden tegen 23 juli 2025 te verhelpen.
“CISA is zich bewust van de actieve exploitatie van een spoofing- en RCE-kwetsbaarheidsketen waarbij CVE-2025-49706 en CVE-2025-49704 betrokken zijn, waardoor ongeoorloofde toegang tot on-premise sharepoint-servers mogelijk is,” zei het bureau in een bijgewerkte advies.
De opname van de twee tekortkomingen, een spoofing-kwetsbaarheid en een externe code-uitvoeringskwetsbaarheid die gezamenlijk als toolshell wordt gevolgd, aan de KEV-catalogus komt nadat Microsoft heeft onthuld dat Chinese hackgroepen zoals Linen Typhoon en Violet Typhoon deze tekortkomingen hebben gebruikt om deze tekortkomingen te gebruiken om te schakelen Sharepoint-servers sinds 7, 2025.
Vanaf het schrijven vermeldt de eigen adviezen van de Tech Giant alleen CVE-2025-53770 als benut in het wild. Bovendien beschrijft het de vier fouten zoals hieronder –
- CVE-2025-49704-SharePoint externe code-uitvoering
- CVE-2025-49706-SharePoint Post-Auth Remote Code-uitvoering
- CVE-2025-53770-SharePoint Toolshell Authentication Bypass en externe code-uitvoering
- CVE-2025-53771-SharePoint Toolshell Path Traversal
Het feit dat CVE-2025-53770 zowel een authenticatie-bypass als een externe code-uitvoeringsbug is, geeft aan dat CVE-2025-53771 niet nodig is om de exploitketen te bouwen. CVE-2025-53770 en CVE-2025-53771 worden beoordeeld als patch-bypasses voor respectievelijk CVE-2025-49704 en CVE-2025-49706.
“De hoofdoorzaak (van CVE-2025-53770) is een combinatie van twee bugs: een authenticatie-bypass (CVE-2025-49706) en een onzekere kwetsbaarheid van deserialisatie (CVE-2015-49704),” zei de Akamai Security Intelligence Group.
Toen een Microsoft-woordvoerder werd bereikt voor commentaar over de exploitatiestatus van CVE-2025-53771 en andere gebreken, vertelde een Microsoft-woordvoerder The Hacker News dat de informatie die in zijn adviezen is gepubliceerd correct is “op het moment van de oorspronkelijke publicatie” en dat het meestal niet na de vrijgave bijwerkt.
“Microsoft helpt CISA ook bij met de bekende uitgebuite kwetsbaarhedencatalogus die regelmatig bijgewerkte informatie biedt over geëxploiteerde kwetsbaarheden,” voegde de woordvoerder toe.
De ontwikkeling komt als WatchTowr Labs de publicatie vertelde dat het intern een methode heeft bedacht die CVE-2025-53770 zodanig heeft benut dat het Antimalware Scan Interface (AMSI) omzeilt, een mitigatiestap die door Microsoft wordt beschreven om niet-geautoreerde aanvallen te voorkomen.
“Dit heeft ons in staat gesteld om kwetsbare systemen te blijven identificeren, zelfs nadat mitigaties zoals AMSI zijn toegepast,” zei Wachttowr -CEO Benjamin Harris. “AMSI was nooit een zilveren kogel, en deze uitkomst was onvermijdelijk. Maar we zijn bezorgd om te horen dat sommige organisaties ervoor kiezen om ‘AMSI in te schakelen’ in plaats van patchen. Dit is een heel slecht idee.”
“Nu exploitatie is gekoppeld aan natiestatenactoren, zou het naïef zijn om te denken dat ze een SharePoint Zero-Day kunnen benutten, maar op de een of andere manier omzeilen AMSI niet. Organisaties moeten patchen. Moeten zonder te zeggen-alle openbare POC’s zullen AMSI veroorzaken, en misleidende organisaties om te geloven dat de mitigaties uitgebreid zijn/de gastheer is niet langer kwetsbaar.”
