Microsoft heeft zondag beveiligingspatches uitgebracht voor een actief geëxploiteerde beveiligingsfout in SharePoint en ook vrijgegeven details over een andere kwetsbaarheid die volgens hem is aangepakt met “robuustere bescherming”.
De tech-gigant erkende dat het “zich bewust is van actieve aanvallen die zich richten op SharePoint Server-klanten op on-premises door te exploiteren van kwetsbaarheden die gedeeltelijk worden aangepakt door de beveiligingsupdate van juli.”
CVE-2025-53770 (CVSS-score: 9.8), aangezien de uitgebuite kwetsbaarheid wordt gevolgd, betreft een geval van externe code-uitvoering die ontstaat door de deserialisering van niet-vertrouwde gegevens in on-premise versies van Microsoft SharePoint Server.
De nieuw bekendgemaakte tekortkoming is een spoofingfout in SharePoint (CVE-2025-53771, CVSS-score: 6.3). Een anonieme onderzoeker is gecrediteerd voor het ontdekken en rapporteren van de bug.
“Onjuiste beperking van een padnaam tot een beperkte map (‘Path Traversal’) in Microsoft Office SharePoint stelt een geautoriseerde aanvaller in staat om spoofing uit te voeren via een netwerk,” zei Microsoft in een advies dat op 20 juli 2025 werd vrijgegeven.
Microsoft merkte ook op dat CVE-2025-53770 en CVE-2025-53771 gerelateerd zijn aan twee andere SharePoint-kwetsbaarheden gedocumenteerd door CVE-2015-49704 en CVE-2025-49706, die kunnen worden geketend om externe code-uitvoering te bereiken. De exploitketen, aangeduid als Toolshell, werd gepatcht als onderdeel van de Patch Tuesday Update van het bedrijf 2025.
“De update voor CVE-2025-53770 bevat meer robuuste bescherming dan de update voor CVE-2025-49704,” zei de Windows Maker. “De update voor CVE-2025-53771 bevat meer robuuste bescherming dan de update voor CVE-2025-49706.”
Het is vermeldenswaard dat Microsoft eerder CVE-2025-53770 kenmerkte als een variant van CVE-2025-49706. Toen hij werd bereikt voor commentaar over deze discrepantie, vertelde een woordvoerder van Microsoft The Hacker News dat “het prioriteit geeft aan het krijgen van updates voor klanten en tegelijkertijd eventuele onnauwkeurigheden corrigeren als dat nodig is.”
Het bedrijf zei ook dat de huidige gepubliceerde inhoud correct is en dat de vorige inconsistentie geen invloed heeft op de richtlijnen van het bedrijf voor klanten.
Beide geïdentificeerde fouten zijn alleen van toepassing op on -premises SharePoint -servers, en hebben geen invloed op SharePoint online in Microsoft 365. De problemen zijn (voor nu) in de versies hieronder aangepakt – –
Om potentiële aanvallen te verminderen, worden klanten aanbevolen om –
- Gebruik ondersteunde versies van On-Premises SharePoint Server (SharePoint Server 2016, 2019 en SharePoint Abonnement Edition)
- Pas de nieuwste beveiligingsupdates toe
- Zorg ervoor dat de Antimalware Scan Interface (AMSI) is ingeschakeld en de volledige modus voor optimale bescherming mogelijk maakt, samen met een geschikte antivirusoplossing zoals Defender Antivirus
- Microsoft Defender implementeren voor eindpuntbescherming of gelijkwaardige oplossingen voor bedreigingen
- Roteer SharePoint Server ASP.NET -machinetoetsen
“Na het toepassen van de nieuwste beveiligingsupdates hierboven of het inschakelen van AMSI, is het van cruciaal belang dat klanten SharePoint Server ASP.NET -machinetoetsen roteren en II’s opnieuw opstarten op alle SharePoint -servers,” zei Microsoft. “Als u AMSI niet kunt inschakelen, moet u uw sleutels roteren nadat u de nieuwe beveiligingsupdate hebt geïnstalleerd.”
De ontwikkeling komt als Eye Security The Hacker News vertelde dat ten minste 54 organisaties zijn gecompromitteerd, waaronder banken, universiteiten en overheidsentiteiten. Er wordt gezegd dat actieve uitbuiting is begonnen rond 18 juli, volgens het bedrijf.
De Amerikaanse cybersecurity en infrastructuurbeveiligingsagentschap (CISA) heeft van zijn kant CVE-2025-53770 toegevoegd aan de bekende uitgebuite Catalogus van Vulnerabilities (KEV), waarvoor federale civiele executive filialen (FCEB) agentschappen moeten toepassen om de fixes toe te passen tegen 21 juli 2025.
Palo Alto Networks Unit 42, die ook volgt wat het beschreef als een “high-impact, voortdurende bedreigingscampagne”, zei de overheid, scholen, gezondheidszorg, inclusief ziekenhuizen en grote ondernemingsbedrijven lopen onmiddellijk risico.
“Aanvallers omzeilen identiteitscontroles, waaronder MFA en SSO, om bevoorrechte toegang te krijgen,” vertelde Michael Sikorski, CTO en hoofd van dreigingsinformatie voor Unit 42 bij Palo Alto Networks, aan The Hacker News. “Eenmaal binnen exfiltrerende gevoelige gegevens, het inzetten van persistente backdoors en het stelen van cryptografische toetsen. De aanvallers hebben deze kwetsbaarheid gebruikt om in systemen te komen en zijn al hun voeten vastgesteld.
“If you have SharePoint on-prem exposed to the internet, you should assume that you have been compromised at this point. Patching alone is insufficient to fully evict the threat. What makes this especially concerning is SharePoint’s deep integration with Microsoft’s platform, including their services like Office, Teams, OneDrive and Outlook, which have all the information valuable to an attacker. A compromise doesn’t stay contained—it opens the door to the entire network.”
De cybersecurity-leverancier heeft het ook geclassificeerd als een hoogse bedreiging met hoge, hoge-urrigency, en dringt er bij organisaties op aan die runt van Microsoft SharePoint-servers om de benodigde patches met onmiddellijke ingang toe te passen, alle cryptografisch materiaal te roteren en zich bezig te houden met incidentresponsinspanningen.
“Een onmiddellijke, pleisterfix zou zijn om uw Microsoft SharePoint van internet los te koppelen totdat er een patch beschikbaar is,” voegde Sikorski toe. “Een vals gevoel van veiligheid kan leiden tot langdurige blootstelling en wijdverbreid compromis.”
(Dit is een ontwikkelend verhaal. Kom terug voor meer informatie.)
