NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.03 #############################

Titel           : Zeroday-kwetsbaarheden ontdekt in Microsoft SharePoint Server
Advisory ID     : NCSC-2025-0233
Versie          : 1.03
Kans            : high
CVE ID          : CVE-2025-53770, CVE-2025-53771
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Control of Generation of Code ('Code
                  Injection')
                  Improper Limitation of a Pathname to a Restricted
                  Directory ('Path Traversal')
                  Improper Authentication
                  Deserialization of Untrusted Data
                  Improper Neutralization
                  Improper Input Validation
Uitgiftedatum   : 20250723
Toepassing      : Microsoft Microsoft SharePoint Enterprise Server 2016
                  Microsoft Microsoft SharePoint Server 2019
                  Microsoft Microsoft SharePoint Server Subscription
                  Edition
Versie(s)       :
Platform(s)     :

Update
   Verschillende cybersecuritybedrijven hebben Indicators-of-Compromise
   gedeeld die organisaties kunnen gebruiken om misbruik van de
   kwetsbaarheden te detecteren. Referenties naar deze Indicators-of-
   Compromise zijn aan het beveiligingsadvies toegevoegd. Daarnaast is
   aangegeven dat het NCSC ervan uitgaat dat de eerder vermelde proof-
   of-conceptcode functioneel is.

Beschrijving
   Microsoft heeft informatie vrijgegeven over actief misbruikte
   zeroday-kwetsbaarheden in on-premises versies van Microsoft
   SharePoint Server. Sharepoint Online (onderdeel van Microsoft 365) is
   niet getroffen.

   De zeroday-kwetsbaarheden, met kenmerk CVE-2025-53770 en
   CVE-2025-53771, stellen een kwaadwillende in staat om willekeurige
   code uit te voeren op SharePoint Server-systemen. Kwaadwillenden
   kunnen op deze manier toegang krijgen tot gevoelige gegevens of
   verdere aanvallen op het netwerk van het slachtoffer uitvoeren.
   Het NCSC heeft signalen ontvangen dat de kwetsbaarheden actief worden
   misbruikt. Naast Microsoft heeft onder andere beveiligingsbedrijf Eye
   Security hier op hun website over bericht. Tevens is proof-of-
   conceptcode (PoC) gepubliceerd waarmee de kwetsbaarheid met kenmerk
   CVE-2025-53770 kan worden misbruikt. Het NCSC heeft de werking van
   dit PoC niet geverifieerd, maar acht het aannemelijk dat het PoC
   functioneel is. Het is daarom de verwachting dat het aantal pogingen
   tot misbruik verder toeneemt.
   De kwetsbaarheden zijn varianten van de eerder actief misbruikte
   kwetsbaarheden CVE-2025-49704 en CVE-2025-49706. Voor deze
   kwetsbaarheden heeft het NCSC beveiligingsadvies NCSC-2025-0215
   uitgebracht, waarvoor op 19 juli een update is verschenen met kans en
   inschaling HIGH/HIGH.

Mogelijke oplossingen
   Microsoft heeft beveiligingsupdates uitgebracht voor SharePoint
   Server 2016, SharePoint Server 2019 en SharePoint Server Subscription
   Edition. Het NCSC adviseert dringend om de updates zo snel mogelijk
   te installeren. Op de website van Microsoft lees je hoe je dit doet.
   Let er hierbij op dat je je ASP.net-machinekeys roteert nadat je de
   updates hebt geïnstalleerd. Dit voorkomt dat een kwaadwillende
   eventuele eerder buitgemaakte machinekeys in de toekomst kan
   misbruiken en op die manier toegang tot de SharePoint-omgeving houdt.
   Indien het niet mogelijk is om de beveiligingsupdates te installeren
   op de manier die Microsoft voorschrijft, adviseert het NCSC om de
   mitigerende maatregelen toe te passen zoals uitgelegd op de website
   van Microsoft. Let er ook hierbij op dat je je machinekeys roteert.
   Als het ook niet mogelijk is om de mitigerende maatregelen toe te
   passen, adviseert het NCSC om de SharePoint-omgeving tijdelijk los te
   koppelen van het internet totdat de beveiliginsgupdates op de juiste
   wijze zijn uitgevoerd.
   Naast het installeren van de beveiligingsupdates, is het raadzaam om
   je SharePont-omgeving en netwerklogs op aanwezigheid van indicators-
   of-compromise (IOC's) te controleren. Hiermee kun je bepalen of je
   systeem mogelijk is gecompromitteerd. Verschillende
   cybersecuritybedrijven hebben IOC's gedeeld. Kijk in je netwerklogs
   of er netwerkverbindingen met de genoemde IP-adressen zijn opgezet,
   en controleer op je SharePoint-systeem of de genoemde malafide
   bestanden aanwezig zijn. IOC's zijn onder andere op de volgende
   websites te vinden:
   - https://research.eye.security/sharepoint-under-siege/
   - https://www.microsoft.com/en-
   us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-
   premises-sharepoint-vulnerabilities/
   - https://unit42.paloaltonetworks.com/microsoft-sharepoint-
   cve-2025-49704-cve-2025-49706-cve-2025-53770/
   - https://www.bitdefender.com/en-
   us/blog/businessinsights/bitdefender-advisory-rce-vulnerability-
   microsoft-sharepoint-server-cve-2025-53770ce
   Zie de bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - certbundde; cisagov; cveprojectv5; nvd
      https://msrc.microsoft.com/update-
      guide/vulnerability/CVE-2025-53770

      Reference - certbundde; cisagov; cveprojectv5; ncscclear; nvd
      https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-
      sharepoint-vulnerability-cve-2025-53770/

      Reference - ncscclear
      https://learn.microsoft.com/en-us/sharepoint/security-for-
      sharepoint-server/configure-amsi-integration

      Reference - cveprojectv5; ncscclear; nvd
      https://research.eye.security/sharepoint-under-siege/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=aqFA
-----END PGP SIGNATURE-----