Microsoft heeft formeel de exploitatie van beveiligingsfouten in internet-gerichte SharePoint-serverinstanties gebonden aan twee Chinese hackgroepen genaamd Linen Typhoon en Violet Typhoon al in 7 juli 2025, die eerdere rapporten bevestigen.
De tech-gigant zei dat het ook een derde in China gevestigde dreigingsacteur heeft waargenomen, die het volgt als Storm-2603, die ook de fouten bewapent om initiële toegang tot doelorganisaties te verkrijgen.
“Met de snelle goedkeuring van deze exploits beoordeelt Microsoft met veel vertrouwen dat dreigingsactoren ze zullen blijven integreren in hun aanvallen op niet-geplaatste on-premises SharePoint-systemen,” zei de tech-gigant in een rapport dat vandaag is gepubliceerd.
Een korte beschrijving van de clusters van de dreigingsactiviteit is hieronder –
- Linnen typhoon )
- Violette tyfoon )
- Storm-2603een vermoedelijke in China gevestigde dreigingsacteur die in het verleden Warlock en Lockbit-ransomware heeft ingezet
De kwetsbaarheden, die van invloed zijn op de sharePoint-servers op on-premises, bleken onvolledige fixes te benutten voor CVE-2025-49706, een spoofingfout en CVE-2025-49704, een externe code-uitvoeringsugbug. De bypasses hebben respectievelijk de CVE-IDS-IDS-IDS-ID-2025-53771 en CVE-2025-53770 toegewezen.
In de aanvallen van Microsoft zijn de dreigingsacteurs gevonden die de sharePoint-servers op de premises gebruiken via een postverzoek aan het ENDPANE-eindpunt, resulterend in een authenticatie-bypass en externe code-uitvoering.
Zoals beschreven door andere leveranciers van cybersecurity, maken de infectieketens de weg vrij voor de implementatie van een webschelp met de naam “spinStall0.aspx” (aka spinStall.aspx, spinStall1.aspx of spinStall2.aspx) waarmee de tegenstanders kunnen ophalen en stelen machineboeken.
Cybersecurity -onderzoeker Rakesh Krishnan zei dat “drie verschillende Microsoft Edge -aanroepingen werden geïdentificeerd” tijdens forensische analyse van een SharePoint -exploit. Dit omvat het nutsproces van het netwerk, Crashpad Handler en GPU -proces.
“Elk dient een unieke functie binnen de architectuur van Chromium, maar onthult gezamenlijk een strategie van gedragshersenen en sandbox -ontwijking,” merkte Krishnan op, terwijl hij ook aandacht vestigde op het gebruik van de Web Shell’s Google’s Client Update Protocol (CUP) om “kwaadaardig verkeer te mengen met goedaardige updatecontroles.”
Om het risico van de dreiging te verminderen, is het essentieel dat gebruikers de nieuwste update toepassen voor SharePoint Server -abonnementseditie, SharePoint Server 2019 en SharePoint Server 2016, roteren SharePoint Server ASP.NET -machinetoetsen, starten internetinformatie -services (IIS) en implementeer Microsoft Defender voor eindpunt of equivalente oplossingen.
Het wordt ook aanbevolen om Antimalware Scan Interface (AMSI) en Microsoft Defender Antivirus (of vergelijkbare oplossingen) te integreren en in te schakelen voor alle on-premises SharePoint-implementaties en AMSI te configureren om de volledige modus mogelijk te maken.
“Aanvullende actoren kunnen deze exploits gebruiken om niet-gepatchte op-premises SharePoint-systemen te richten, waardoor de noodzaak van organisaties verder moet worden benadrukt om mitigaties en beveiligingsupdates onmiddellijk te implementeren,” zei Microsoft.
Hoewel de bevestiging van Microsoft de nieuwste hackcampagne is die is gekoppeld aan China, is dit ook de tweede keer dat de door Beijing uitgelijnde dreigingsacteurs zich richt op de Windows Maker. In maart 2021 werd het tegenstandercollectief gevolgd als zijden tyfoon (aka hafnium) gebonden aan een massa-exploitatie-activiteit die meerdere dan nul-days in Exchange Server benutte.
Eerder deze maand werd een 33-jarige Chinese nationale, Xu Zewei gearresteerd in Italië en beschuldigd van het uitvoeren van cyberaanvallen tegen Amerikaanse organisaties en overheidsinstanties door de Microsoft Exchange Server-fouten te bewapenen, die bekend werden als proxylogon.
