Microsoft: drie Chinese hackersgroepen misbruiken SharePoint-kwetsbaarheid

Drie Chinese hackersgroepen misbruiken de onlangs gevonden kwetsbaarheid in SharePoint Server. Dat heeft Microsoft bekendgemaakt. Twee daarvan linkt het bedrijf aan de Chinese staat. Door het lek kunnen kwaadwillenden schadelijke code uitvoeren op servers bij organisaties.

Het gaat om de hackersgroepen Linen Typhoon en Violet Typhoon die voor de Chinese staat werken. Ook de eveneens Chinese groep Storm-2603 gebruikt het lek in aanvallen, zegt Microsoft. Inmiddels heeft het bedrijf fixes uitgebracht voor de SharePoint Server-kwetsbaarheid. Dat gebeurde eerder deze week.

Het gaat om zerodaykwetsbaarheden CVE-2025-53770 en CVE-2025-53771 in SharePoint Server 2019 en SharePoint Server Subscription Edition. Door deze kwetsbaarheden kunnen kwaadwillenden op afstand ongeautoriseerde code uitvoeren op SharePoint Servers, waardoor ze het systeem kunnen overnemen. Deze servers staan fysiek bij organisaties en overheden en worden gebruikt voor het delen en beheren van documenten. De cloudservers die voor SharePoint Online in Microsoft 365 worden gebruikt, zijn volgens het bedrijf niet getroffen. Er is inmiddels ook een proof of concept van een exploit op GitHub.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 22-07-2025 20:23 35

22-07-2025 • 20:23

35

Lees meer

Microsoft Sharepoint

geen prijs bekend

Microsoft stopt SharePoint-onderhoud door Chinese teams na hacks met staatssteun
Microsoft stopt SharePoint-onderhoud door Chinese teams na hacks met staatssteun Nieuws van 25 augustus 2025
Microsoft: lek in Sharepoint Server wordt misbruikt voor ransomwareaanvallen
Microsoft: lek in Sharepoint Server wordt misbruikt voor ransomwareaanvallen Nieuws van 24 juli 2025
Microsoft introduceert tool om makkelijk naar Windows 11-systeem te switchen
Microsoft introduceert tool om makkelijk naar Windows 11-systeem te switchen Nieuws van 23 juli 2025
Microsoft brengt fix uit voor misbruikte kwetsbaarheden in SharePoint Server
Microsoft brengt fix uit voor misbruikte kwetsbaarheden in SharePoint Server Nieuws van 21 juli 2025
Microsoft verkoopt straks securityupdates voor oude Exchange- en Skype-servers
Microsoft verkoopt straks securityupdates voor oude Exchange- en Skype-servers Nieuws van 17 juli 2025
Microsoft verhoogt prijzen van losse on-premisesserversoftware met 10 procent
Microsoft verhoogt prijzen van losse on-premisesserversoftware met 10 procent Nieuws van 7 april 2025
Meer producten en artikelen
Programming

Reacties (35)

-Moderatie-faq
35
34
7
2
0
13
Wijzig sortering

Sorteer op:

Weergave:
-TAZZ- 22 juli 2025 21:34
Hier staat een mooie beschrijving hoe het misbruik ontdekt is en hoe dat in z'n werk gaat. Een leuk Nederlands tintje aan dit Sharepoint drama

[Reactie gewijzigd door -TAZZ- op 22 juli 2025 21:35]

watabstract @-TAZZ-23 juli 2025 00:00
Waarom staat de meest interessante informatie bijna altijd in het commentaar ipv in het artikel? Bedankt voor de link. Misschien is het een keer tijd voor een nieuwe nieuwssite voor echte nerds. :+
matroosoft @watabstract24 juli 2025 23:56
Omdat een artikel geschreven wordt door 1 nerd maar gelezen door 10.000 nerds
ToolBee @-TAZZ-23 juli 2025 02:30
Die woordvoerder van Eye heel trots vanmiddag op RTLZ... :D
Linux gebruiker 22 juli 2025 22:43
"Drie Chinese hackersgroepen misbruiken de onlangs gevonden kwetsbaarheid in SharePoint Server"

Ik vraag mij af waarom die kwetsbaarheid niet meteen gedicht is,

of lees ik het verkeerd.
ToolBee @Linux gebruiker23 juli 2025 02:35
Dat is het met zero-days... die zitten er vanaf de eerste release in.
De methode is vorige week nog/pas op een hackers conferentie gedeeld en besproken dus wellicht is het misbruik maar enkele dagen geweest...
joenevd @ToolBee23 juli 2025 06:03
Je opmerking klopt niet echt. Een zero-day is een kwetsbaarheid dat nog niet of nauwelijks is ontdekt. Doordat er misbruik is gemaakt zonder dat MS van het lek afwist, wordt het misbruik zo genoemd. Maar nieuwe aanvallen zijn dus geen zero-day meer. Er zijn namelijk al maatregelen, in de vorm van patches, getroffen.

(De kwetsbaarheid zou sinds het begin al aanwezig kunnen zijn of pas met een latere patch ontstaan zijn. Maar dat staat los van de term zero-day.)

[Reactie gewijzigd door joenevd op 23 juli 2025 06:13]

ToolBee @joenevd23 juli 2025 15:33
(y)
William_H @Linux gebruiker22 juli 2025 22:54
Volgens mij stelt het artikel dat er ook een patch voor is.

Wat bedoel je dan precies met, niet meteen gedicht is? SharePoint on-prem is precies dat, op locatie bij bedrijven en instellingen. Die zal dus eerst geüpdatet moeten worden door de IT-afdeling van zo'n bedrijf/instelling. Het is geen SharePoint 365 wat beheerd wordt door M$.
Webgnome @Linux gebruiker23 juli 2025 08:56
Dat is een beetje lastig als je niet weet van het bestaan van het lek. Als ik naar de CVE's kijk dan zijn ze 19 en 20 Juli 2025 ontdekt (dat zegt overigens niks over hoe lang ze al in de software zitten..).

Dan moet je daar resources voor vrij maken, die moeten zich inlezen etc etc. Naar mijn mening (ik heb de details van de CVE niet bekeken) zijn ze er toch rap bij.
Dociler 22 juli 2025 20:57
Ik vraag me altijd af of wij in NL ook hackersgroepen hebben die shit in china flikken in opdracht van onze staat. Ben ook wel benieuwd wat iedereen hier daarvan vindt: Moeten we wel of niet inbreken bij landen waar we formeel nog niet mee in oorlog zijn?
Mellow Jack @Dociler22 juli 2025 21:07
Twee verschillen. Volgens de Nederlandse wet mogen onze diensten geen commerciële hacks uitvoeren. Dus bijv bedrijf spionage. Ze mogen wel dingen doen onder het mom van onze veiligheid.

Dus ja we doen wel dingen en hebben wel groepen die zich hiermee bezig houden maar niet zo actief en in your face als de andere landen doen.
moimeme @Mellow Jack22 juli 2025 23:10
Hoe valt die Nederlandse wet te rijmen met het optuigen van een nep bedrijf om fax van iransebedrijven te hacken?

Waren onze diensten illegal bezig? Nederlandse justitie is niet in actie gekomen toen het bekende werd.
Die_ene_gast @Mellow Jack23 juli 2025 08:11
Hiermee beperken we onszelf onder het mom van "de beter zijn".
JohanNL @Dociler22 juli 2025 21:18
Nee, maar ik vraag mij wel af waarom men geen stevige acties onderneemt tegen staatshackers, dit is min of meer toch een (digitale) inval. We zien het gebeuren, kijken ernaar en doen uiteindelijk hier niets tegen (?)
BlaDeKke @JohanNL22 juli 2025 22:44
Bang voor de consequenties als men zelf betrapt wordt? Is NL niet een beetje gekend voor spionage?
oef! @JohanNL23 juli 2025 11:01
Wat kun je eraan doen? Je weet niet welke personen erachter zitten en de andere statelijke actor zal ontkennen er iets mee te maken te hebben. Mocht je wel weten welke personen erachter zitten dan kun je wel een aanhoudingsbevel uitgeven maar dat heeft weinig nut als die personen niet naar de EU of een aangesloten partner reizen.
Llopigat @Dociler22 juli 2025 22:07
Als die landen ons tegenwerken: ja. Vind ik wel.

Zeker als zij hetzelfde eerst hebben gedaan.
ThinkPad @Dociler22 juli 2025 22:52
Ja.

Interessant boek over cyberoorlog: Huib Modderkolk: “Het is oorlog maar niemand die het ziet
grimlock @ThinkPad23 juli 2025 07:44
Besteld. Dank voor de tip!
pven @Dociler22 juli 2025 21:07
Ligt eraan of je formeel inbreekt of het stiekem doet. 8)7
dasiro @Dociler22 juli 2025 21:20
in elk land zijn er criminelen die ingehuurd worden om vuile zaakjes op te knappen, dus waarom zou er in een technologisch ontwikkeld land als dat van jullie geen state-sponsored cybercrime zijn?

Of dat wel of niet gedaan moet worden laat ik over aan je eigen morele inschatting.
freevago @Dociler23 juli 2025 09:27
Ja !

Sterker, wij zouden Chinese producten moeten boycotten.

Europa is te militair afhankelijk van de VS, China is onze " fabriek" en voorheen waren wij gas junkies van Rusland.

De paradox is dat alledrie nu onbetrouwbaar zijn maar wel dik aan aan Europa willen verdienen en ons een verborgen ondemocratische politieke agenda willen opleggen.
TweakTwitch @Dociler23 juli 2025 10:56
Naar mijn mening overal ter wereld, en iedere natiestaat met de kennis en capaciteiten ervoor. Niet iedereen is je vriend. En inlichtingen verzamelen, kan ook heel veel kwaad voorkomen. Hoop alleen dat het gebeurt voor het beste voor je mensen,bevolking, en eigenlijk voor de veiligheid van de mensheid/wereld. Ben benieuwd hoelang het bijvoorbeeld duurt voordat AlquidaGPT getraind is lol.

En wat voor gevaar het kan brengen mits dat soort dingen niet van te voren gestopt kan worden.

Maar dit is meer mijn fantasie op vrije loop, maar het zal me niks verbazen. Wij burgers gebruiken de beschermde versie van de tools. Voor creativiteit/productiviteit. Maar statelijke actoren hebben natuurlijk de onbegrensde versie, en de versies die nog niet commercieel zijn ingezet. Die op ontwikkel bio wapen, of hoe creëer ik zoveel mogelijk chaos. Wel een antwoord op zal geven.

Daarom is het ook zo belangrijk, dat dit soort technologie wat ik als voorbeeld probeer te gebruiken, niet in de verkeerde handen komt. en dat doe je natuurlijk door onder andere inlichtingen te verzamelen.

Maar het grootste gedeelte was semi off topic denk ik, en meer een zorg die ik wou delen.

Maar het lijkt mij dat elk land het probeert.

Ben over het algemeen een optimist, maar het zijn bijzondere, spannende, interessante tijden. en ik vraag me oprecht af hoe de wereld er over 20 jaar uit zal zien. maar dat is vrij normaal denk ik.
Bertus1951 @Dociler23 juli 2025 16:14
Mijn idee.
Alper587 23 juli 2025 10:44
De cloudservers die voor SharePoint Online in Microsoft 365 worden gebruikt, zijn volgens het bedrijf niet getroffen.

[Reactie gewijzigd door Alper587 op 23 juli 2025 11:05]

mutley69 22 juli 2025 21:38
Wie heeft China bepaalde broncode gegeven? Juist - en is er niet zoiets als de kat en de melk?
pdidi 22 juli 2025 21:39
Waarom zou je tegenwoordig SharePoint onprem nog via het internet willen ontsluiten? Kun je daar niet beter SharePoint Online voor gebruiken?
WhiteDog @pdidi22 juli 2025 23:17
Heb de CVE niet bekeken, maar ook als het niet aan het internet hangt hoef je waarschijnlijk maar op 1 gebruiker zijn PC te raken om zo toegang te krijgen tot Sharepoint en deze alsnog te compromiteren. Veel kans dat uitgaand verkeer daar gewoon helemaal open staat.
ToolBee @pdidi23 juli 2025 02:31
Draait dat wel op server2000? Overheden doen veel aan "legacy" software. :+

[Reactie gewijzigd door ToolBee op 23 juli 2025 02:32]

Die_ene_gast 23 juli 2025 08:12
Tijd dat we ons netwerk afschermen voor zulke schurkenstaten en gewoon terug aanvallen. Pak wat je pakken kan daar zou ik zeggen.

We doen te lief onder het mom van "anders verlagen we ons". Als iemand je in het gezicht slaat kan je twee dingen doen
  1. jezelf verdedigen
  2. niets want je bent beter dan degene die je slaat
Welke klinkt logisch?
riyakuya 23 juli 2025 10:11
Door alle artikelen over hacks de afgelopen jaren vraag ik me af of het voor een bedrijf haalbaar is om hun belangrijke data (inclusief klantgegevens) volledig lokaal te houden en dus niet met een openbaar netwerk te verbinden? Ik ben absoluut niet thuis in die wereld, maar verbaas me er toch wel telkens over dat veel bedrijfs- en klantgegevens geregeld in handen van ongewenste organisaties of personen komen. Dat zou je als bedrijf (of zelfs overheid) toch het liefst willen voorkomen lijkt me?
Verwijderd 24 juli 2025 00:20
Gewoonlijk heb ik meer last van de updates en veranderingen die Microsoft op mijn systemen afdwingt dan van de hacks die door onverlaten op Microsoft software worden uitgevoerd.
Lieftalig 23 juli 2025 10:28
Weer te laat met patchen. Hoeveel signalen heeft Microsoft nodig voordat on-prem security eindelijk prioriteit krijgt?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq