Business
Trending
TechPulse op WhatsApp Windows 10 Black Friday-deals Alles over elektrische fietsen
Nieuws
Jeffrey van de Velde

Honderden SharePoint-servers blijven kwetsbaar voor zerodaylek

Honderden SharePoint-servers kwetsbaar
© iStock / Orhan Turan
Ruim 800 SharePoint-servers zijn nog steeds niet gepatcht voor het ernstige zerodaylek in SharePoint Server. Microsoft riep bedrijven eerder al op om hun software bij te werken.

Beveiligingsupdates voor het lek zijn al sinds 20 juli beschikbaar voor SharePoint Server 2019 en de Subscription Edition, en sinds 21 juli voor SharePoint Server 2016. Toch zijn er nog steeds honderden via het internet bereikbare SharePoint-servers waarbij het lek niet is opgelost. Uit onderzoek van de Shadowserver Foundation blijkt dat het om minstens 840 servers gaat. In zeker twintig gevallen is het lek bovendien al actief misbruikt.

Via het beveiligingslek (CVE-2025-53770) kunnen aanvallers willekeurige code uitvoeren op kwetsbare SharePoint-servers. Ze hoeven zich daarbij niet te identificeren: in principe kan iedereen met toegang tot een server code uitvoeren. Wat het lek extra ernstig maakt, is dat hackers ook na het installeren van de patch toegang kunnen behouden tot de servers via achtergelaten webshells.

Alleen het installeren van de patch op een reeds gecompromitteerde server is dus niet voldoende. Via de webshells kunnen hackers namelijk commando’s blijven uitvoeren. Volgens Microsoft worden de servers met name ingezet voor spionage en ransomware-aanvallen. Daarbij proberen aanvallers bedrijfsgeheimen te stelen of bedrijven af te persen.

Update je SharePoint Server-instances

Onderzoekers van de Shadowserver Foundation herhalen de oproep van Microsoft: update je SharePoint Server-software. Maar, zoals gezegd, is dat niet voldoende. Beheerders moeten ook controleren op verdachte activiteit. Kijk daarbij in de SharePoint-logbestanden naar bestandsnamen als ToolShell.aspx of verzoeken naar /_vti_bin/workflowservice.

Wordt zulke activiteit aangetroffen, dan moet de server zo snel mogelijk offline worden gehaald. Idealiter worden ook alle wachtwoorden en certificaten gerouleerd om ongeautoriseerde toegang te blokkeren. Daarnaast kunnen beveiligingsonderzoekers de server onderzoeken op andere sporen van misbruik.

Honderden servers aangevallen

Wereldwijd zijn inmiddels honderden gevallen van gecompromitteerde servers bekend, concludeerde Eye Security onlangs. Die aanvallen begonnen al voordat Microsoft de patches beschikbaar stelde: het ging om een zogenoemd zerodaylek dat al werd misbruikt voordat Microsoft ervan op de hoogte was.

Microsoft heeft het misbruik inmiddels gelinkt aan drie Chinese hackersgroepen: Linen Typhoon, Violet Typhoon en Storm-2603. De eerste twee zouden bovendien banden onderhouden met de Chinese overheid.

Uitgelicht artikel AI sleeper-agent Microsoft waarschuwt voor extreem ernstig lek in SharePoint, noodpatch alleen volstaat niet
Beveiligingmicrosoft
Profielfoto Jeffrey van de Velde
Jeffrey van de Velde
Als gepassioneerd technologiejournalist duikt Jeffrey dagelijks met een kritische blik in het laatste nieuws over smartphones, telecommunicatie, hardware en elektrische fietsen. Hoe sneller de evoluties in de techwereld gaan, hoe beter, vindt hij.

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Trending berichten

Business