Nieuwe Microsoft SharePoint-exploit gepatcht in noodbeveiligingsupdate

Microsoft heeft een noodbeveiligingspatch uitgebracht die de "ToolShell"-aanvallen beperkt die wereldwijd diensten aantasten. De patches voor Microsoft SharePoint Subscription Edition en SharePoint 2019 verhelpen twee kritieke beveiligingslekken die zijn geïdentificeerd als "CVE-2025-53770" en "CVE-2025-53771".

Op dit moment zijn er nog geen patches beschikbaar voor SharePoint 2016, maar Microsoft heeft aangegeven dat er aan gewerkt wordt. Het bedrijf heeft geadviseerd dat beheerders de update "KB5002754" voor SharePoint 2019 en de "KB5002768 update"voor SharePoint Subscription Edition te installeren

Deze kwetsbaarheden maken het mogelijk om op afstand arbitraire code uit te voeren op servers zonder dat hiervoor authenticatie vereist is. De "CVE-2025-53770"-exploit heeft een CVSS v3-score van 9,8 en wordt actief in het wild uitgebuit.

De aanvallers richten zich op SharePoint-servers met internetverbinding en ten minste twee van deze aanvallen hebben banden met de ransomware-groepen "Silk Typhoon" en "Storm-0506", waarvan van beide bekend is dat ze zich richten op bedrijfsservers.

Door de fout kunnen aanvallers sleutels stelen en zich voordoen als gebruikers, zelfs als de server opnieuw wordt opgestart of gepatcht. Tot nu toe lijken cloudversies van SharePoint niet kwetsbaar te zijn voor de aanvallen.

Beveiligingsonderzoekers van Eye Security ontdekten de de gebreken op 18 juli. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een advies uitgegeven om Antimalware Scan Interface (AMSI) en Microsoft Defender AV in te schakelen op alle SharePoint-servers.

Als AMSI niet kan worden ingeschakeld, wordt geadviseerd om de getroffen servers onmiddellijk los te koppelen van het netwerk totdat er een oplossing is gevonden.