Een kritische beveiligingskwetsbaarheid in Microsoft SharePoint-server is bewapend als onderdeel van een “actieve, grootschalige” uitbuitingscampagne.
De zero-day fout, gevolgd als CVE-2025-53770 (CVSS-score: 9.8), is beschreven als een variant van CVE-2025-49706 (CVSS-score: 6.3), een spoofing-bug in Microsoft SharePoint Server die werd aangesproken door de Tech Giant als onderdeel van de patch dinsdag updates van juli 2025.
“Deserialisatie van niet-vertrouwde gegevens in on-premises Microsoft SharePoint Server stelt een ongeautoriseerde aanvaller in staat om code via een netwerk uit te voeren,” zei Microsoft in een advies dat werd uitgebracht op 19 juli 2025.
De Windows Maker merkte verder op dat het een uitgebreide update voorbereidt en volledig test om het probleem op te lossen. Het heeft Viettel Cyber Security gecrediteerd voor het ontdekken en rapporteren van de fout via Trend Micro’s Zero Day Initiative (ZDI).
In een afzonderlijke waarschuwing die zaterdag is uitgegeven, zei Redmond dat het zich bewust is van actieve aanvallen op de SharePoint-serverklanten op on-premises, maar benadrukte dat SharePoint Online in Microsoft 365 niet wordt beïnvloed.
Bij afwezigheid van een officiële patch dringt Microsoft aan op klanten om de integratie van Antimalware Scan Interface (AMSI) in SharePoint en implementeren Defender AV op alle SharePoint -servers te configureren.
Het is vermeldenswaard dat AMSI -integratie standaard is ingeschakeld in de beveiligingsupdate van september 2023 voor SharePoint Server 2016/2019 en de versie 23H2 -functie -update voor SharePoint Server -abonnementseditie.
Voor degenen die AMSI niet kunnen inschakelen, wordt geadviseerd dat de SharePoint -server van internet is losgekoppeld totdat een beveiligingsupdate beschikbaar is. Voor extra bescherming worden gebruikers aanbevolen om de verdediger voor het eindpunt te implementeren om de activiteit na de exploit te detecteren en te blokkeren.
De openbaarmaking komt als Eye Security en Palo Alto Networks Unit 42 gewaarschuwd voor aanvallen chaining CVE-2025-49706 en CVE-2025-49704 (CVSS-score: 8.8), een code-injectiefout in SharePoint, om willekeurige commando-uitvoering te vergemakkelijken op gevoelige instanties. De exploitketen is Codenaam Toolshell.
Maar gezien het feit dat CVE-2025-53770 een “variant” is van CVE-2025-49706, wordt vermoed dat deze aanvallen gerelateerd zijn.
De kwaadaardige activiteit omvat in wezen het leveren van ASPX -payloads via PowerShell, die vervolgens wordt gebruikt om de machinebestrijdingsconfiguratie van de SharePoint -server, inclusief de ValidationKey en DecryptionKey, te stelen om aanhoudende toegang te behouden.
Het Nederlandse cybersecuritybedrijf zei dat deze sleutels cruciaal zijn voor het genereren van geldige __viewState -payloads, en dat het verkrijgen van toegang daartoe effectief elk geverifieerd SharePoint -verzoek verandert in een externe code -uitvoeringsmogelijkheid.
“We identificeren nog steeds massale exploitgolven,” vertelde oogbeveiliging CTO Piet Kerkhofs aan The Hacker News in een verklaring. “Dit zal een enorme impact hebben, omdat tegenstanders zijdelings bewegen met deze externe code -uitvoering met snelheid.”
“We hebben bijna 75 organisaties op de hoogte gebracht die zijn overtreden, terwijl we de kwaadwillende webshell op hun SharePoint -servers identificeerden. In deze groep zijn grote bedrijven en grote overheidsinstanties over de hele wereld.”
Het is vermeldenswaard dat Microsoft zijn adviezen voor CVE-2025-49706 en CVE-2025-49704 nog niet moet bijwerken om actieve uitbuiting weer te geven. We hebben ook contact opgenomen met het bedrijf voor verdere opheldering en we zullen het verhaal bijwerken als we terug horen.
(Het verhaal ontwikkelt zich. Kom terug voor meer informatie.)
