Microsoft waarschuwt voor extreem ernstig lek in SharePoint, noodpatch alleen volstaat niet
Het beveiligingslek staat bekend als CVE-2025-53770. Het is een zogenaamde “zeroday”, een exploit die al actief misbruikt wordt op het moment dat het bestaan ervan openbaar gemaakt wordt. De ernst van de dreiging kreeg een score van 9,8 op 10 mee, wat dus extreem ernstig is. Wie een eigen SharePoint-server draait en de nieuwste update (juli) niet geïnstalleerd heeft, loopt immers het risico dat aanvallers zonder wachtwoord kunnen inbreken.
Concreet zit de kwetsbaarheid in de manier waarop SharePoint bepaalde data deserialiseert, oftewel de manier waarop SharePoint bepaalde informatie van buitenaf uitpakt en verwerkt. Door het lek kunnen aanvallers via een speciaal webverzoek eigen code laten draaien op de server. Op die manier kunnen ze door het plaatsen van een webshell zonder wachtwoord toegang krijgen tot het hele systeem.
Noodpatch voor Sharepoint alleen volstaat niet
Microsoft heeft snel gereageerd en een noodpatch uitgerold voor SharePoint Server 2019 en de Subscription Edition. Wie SharePoint 2016 draait, moet in afwachting van een definitieve oplossing echter bijkomende stappen ondernemen, zoals het blokkeren van bepaalde internetpaden.
De online versie van SharePoint onder Microsoft 365 is overigens niet kwetsbaar, aangezien die op andere code draait. Toch raadt Microsoft cloudgebruikers aan om hun hybride connectors te controleren. Een geïnfecteerde server kan immers ook tokens stelen die toegang geven tot bepaalde Microsoft 365-resources.
Wie een eigen SharePoint-server heeft, moet nagaan welke versie er precies gebruikt wordt en zo snel mogelijk de nieuwste update installeren. Daarna moet de server herstart worden, zodat de patch actief wordt. Met de noodpatch alleen is het gevaar echter niet per se geweken. Zelfs na de patch kunnen gestolen wachtwoordsleutels immers nog actief misbruikt worden, omdat ze ook na de patch nog gewoon geldig blijven. De patch helpt dus wel om servers die nog niet geïnfecteerd zijn te beveiligen, maar voor reeds geïnfecteerde servers is er meer nodig.
Eens de patch geïnstalleerd is, is het dus aangeraden om de logbestanden van afgelopen maand na te gaan om te zien of er vreemde bestandsnamen als ToolShell.aspx of ongewone verzoeken naar het pad /_vti_bin/workflowservice opduiken. Kom je iets verdacht tegen, haal de server dan offline en laat een uitgebreider forensisch onderzoek uitvoeren door experten. Alle SharePoint-gerelateerde certificaten en wachtwoorden moeten dan mogelijk vernieuwd worden.
Wereldwijd al verschillende bedrijven getroffen
Zoals gezegd gaat het om een ernstig beveiligingslek. SharePoint wordt wereldwijd door enorm veel bedrijven gebruikt om projectdata intern te delen. Vaak gaat het daarbij ook om gevoelige gegevens.
Wereldwijd zouden al tientallen bedrijven het slachtoffer zijn geworden van de kritieke SharePoint-exploit. Ook overheidsinstanties zouden geviseerd worden. In sommige gevallen zou een aanval ook gekoppeld worden aan ransomware.
Microsoft benadrukt dat afwachten geen optie is: updaten en controleren is de boodschap om ernstige schade te vermijden.
