Zeroday-kwetsbaarheden ontdekt in Microsoft SharePoint Server
Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
| Publicatie | Kans | Schade | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Versie 1.03 | 23-07-2025 | NCSC-2025-0233 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| 23-07-2025 |
high
|
high
|
NCSC-2025-0233 [1.03] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Kenmerken |
|
|||||||||
| Omschrijving |
Microsoft heeft informatie vrijgegeven over actief misbruikte zeroday-kwetsbaarheden in on-premises versies van Microsoft SharePoint Server. Sharepoint Online (onderdeel van Microsoft 365) is niet getroffen. De zeroday-kwetsbaarheden, met kenmerk CVE-2025-53770 en CVE-2025-53771, stellen een kwaadwillende in staat om willekeurige code uit te voeren op SharePoint Server-systemen. Kwaadwillenden kunnen op deze manier toegang krijgen tot gevoelige gegevens of verdere aanvallen op het netwerk van het slachtoffer uitvoeren. Het NCSC heeft signalen ontvangen dat de kwetsbaarheden actief worden misbruikt. Naast Microsoft heeft onder andere beveiligingsbedrijf Eye Security hier op hun website over bericht. Tevens is proof-of-conceptcode (PoC) gepubliceerd waarmee de kwetsbaarheid met kenmerk CVE-2025-53770 kan worden misbruikt. Het NCSC heeft de werking van dit PoC niet geverifieerd, maar acht het aannemelijk dat het PoC functioneel is. Het is daarom de verwachting dat het aantal pogingen tot misbruik verder toeneemt. De kwetsbaarheden zijn varianten van de eerder actief misbruikte kwetsbaarheden CVE-2025-49704 en CVE-2025-49706. Voor deze kwetsbaarheden heeft het NCSC beveiligingsadvies NCSC-2025-0215 uitgebracht, waarvoor op 19 juli een update is verschenen met kans en inschaling HIGH/HIGH. |
|||||||||
| Bereik |
|
|||||||||
| Oplossingen |
Microsoft heeft beveiligingsupdates uitgebracht voor SharePoint Server 2016, SharePoint Server 2019 en SharePoint Server Subscription Edition. Het NCSC adviseert dringend om de updates zo snel mogelijk te installeren. Op de website van Microsoft lees je hoe je dit doet. Let er hierbij op dat je je ASP.net-machinekeys roteert nadat je de updates hebt geïnstalleerd. Dit voorkomt dat een kwaadwillende eventuele eerder buitgemaakte machinekeys in de toekomst kan misbruiken en op die manier toegang tot de SharePoint-omgeving houdt. Indien het niet mogelijk is om de beveiligingsupdates te installeren op de manier die Microsoft voorschrijft, adviseert het NCSC om de mitigerende maatregelen toe te passen zoals uitgelegd op de website van Microsoft. Let er ook hierbij op dat je je machinekeys roteert. Als het ook niet mogelijk is om de mitigerende maatregelen toe te passen, adviseert het NCSC om de SharePoint-omgeving tijdelijk los te koppelen van het internet totdat de beveiliginsgupdates op de juiste wijze zijn uitgevoerd. Naast het installeren van de beveiligingsupdates, is het raadzaam om je SharePont-omgeving en netwerklogs op aanwezigheid van indicators-of-compromise (IOC's) te controleren. Hiermee kun je bepalen of je systeem mogelijk is gecompromitteerd. Verschillende cybersecuritybedrijven hebben IOC's gedeeld. Kijk in je netwerklogs of er netwerkverbindingen met de genoemde IP-adressen zijn opgezet, en controleer op je SharePoint-systeem of de genoemde malafide bestanden aanwezig zijn. IOC's zijn onder andere op de volgende websites te vinden [Link] [Link] [Link] [Link] Zie de bijgevoegde referenties voor meer informatie. [Link] [Link] [Link] [Link] |
|||||||||
| CVE’s | ||||||||||
| Versie 1.03 | 23-07-2025 | NCSC-2025-0233 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| 23-07-2025 |
high
|
high
|
NCSC-2025-0233 [1.03] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Update |
Verschillende cybersecuritybedrijven hebben Indicators-of-Compromise gedeeld die organisaties kunnen gebruiken om misbruik van de kwetsbaarheden te detecteren. Referenties naar deze Indicators-of-Compromise zijn aan het beveiligingsadvies toegevoegd. Daarnaast is aangegeven dat het NCSC ervan uitgaat dat de eerder vermelde proof-of-conceptcode functioneel is. |
|||||||||
| Versie 1.02 | 22-07-2025 | NCSC-2025-0233 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| 22-07-2025 |
high
|
high
|
NCSC-2025-0233 [1.02] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Update |
Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen in SharePoint Server 2016. Daarnaast is mogelijk proof-of-conceptcode op het internet verschenen waarmee de kwetsbaarheid met kenmerk CVE-2025-53770 kan worden misbruikt. |
|||||||||
| Versie 1.01 | 21-07-2025 | NCSC-2025-0233 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| 21-07-2025 |
high
|
high
|
NCSC-2025-0233 [1.01] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Update |
Microsoft heeft beveiligingsupdates beschikbaar gesteld om de kwetsbaarheden te verhelpen in SharePoint Server Subscription Service en SharePoint Server 2019. Voor SharePoint Server 2016 zijn vooralsnog geen beveiligingsupdates beschikbaar. Lees het handelingsperspectief voor meer informatie. Daarnaast is een ontbrekende CVE (CVE-2025-53771) en is informatie over actief misbruik aan dit beveiligingsadvies toegevoegd. |
|||||||||
| Versie 1.00 | 20-07-2025 | NCSC-2025-0233 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| 20-07-2025 |
high
|
high
|
NCSC-2025-0233 [1.00] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.