Microsoft: drie Chinese hackersgroepen misbruiken SharePoint-kwetsbaarheid

Drie Chinese hackersgroepen misbruiken de onlangs gevonden kwetsbaarheid in SharePoint Server. Dat heeft Microsoft bekendgemaakt. Twee daarvan linkt het bedrijf aan de Chinese staat. Door het lek kunnen kwaadwillenden schadelijke code uitvoeren op servers bij organisaties.

Het gaat om de hackersgroepen Linen Typhoon en Violet Typhoon die voor de Chinese staat werken. Ook de eveneens Chinese groep Storm-2603 gebruikt het lek in aanvallen, zegt Microsoft. Inmiddels heeft het bedrijf fixes uitgebracht voor de SharePoint Server-kwetsbaarheid. Dat gebeurde eerder deze week.

Het gaat om zerodaykwetsbaarheden CVE-2025-53770 en CVE-2025-53771 in SharePoint Server 2019 en SharePoint Server Subscription Edition. Door deze kwetsbaarheden kunnen kwaadwillenden op afstand ongeautoriseerde code uitvoeren op SharePoint Servers, waardoor ze het systeem kunnen overnemen. Deze servers staan fysiek bij organisaties en overheden en worden gebruikt voor het delen en beheren van documenten. De cloudservers die voor SharePoint Online in Microsoft 365 worden gebruikt, zijn volgens het bedrijf niet getroffen. Er is inmiddels ook een proof of concept van een exploit op GitHub.

Door Arnoud Wokke

Redacteur Tweakers

22-07-2025 • 20:23

35

Reacties (35)

Sorteer op:

Weergave:

Hier staat een mooie beschrijving hoe het misbruik ontdekt is en hoe dat in z'n werk gaat. Een leuk Nederlands tintje aan dit Sharepoint drama

[Reactie gewijzigd door -TAZZ- op 22 juli 2025 21:35]

Waarom staat de meest interessante informatie bijna altijd in het commentaar ipv in het artikel? Bedankt voor de link. Misschien is het een keer tijd voor een nieuwe nieuwssite voor echte nerds. :+
Omdat een artikel geschreven wordt door 1 nerd maar gelezen door 10.000 nerds
Die woordvoerder van Eye heel trots vanmiddag op RTLZ... :D
"Drie Chinese hackersgroepen misbruiken de onlangs gevonden kwetsbaarheid in SharePoint Server"

Ik vraag mij af waarom die kwetsbaarheid niet meteen gedicht is,

of lees ik het verkeerd.
Dat is het met zero-days... die zitten er vanaf de eerste release in.
De methode is vorige week nog/pas op een hackers conferentie gedeeld en besproken dus wellicht is het misbruik maar enkele dagen geweest...
Je opmerking klopt niet echt. Een zero-day is een kwetsbaarheid dat nog niet of nauwelijks is ontdekt. Doordat er misbruik is gemaakt zonder dat MS van het lek afwist, wordt het misbruik zo genoemd. Maar nieuwe aanvallen zijn dus geen zero-day meer. Er zijn namelijk al maatregelen, in de vorm van patches, getroffen.

(De kwetsbaarheid zou sinds het begin al aanwezig kunnen zijn of pas met een latere patch ontstaan zijn. Maar dat staat los van de term zero-day.)

[Reactie gewijzigd door joenevd op 23 juli 2025 06:13]

Volgens mij stelt het artikel dat er ook een patch voor is.

Wat bedoel je dan precies met, niet meteen gedicht is? SharePoint on-prem is precies dat, op locatie bij bedrijven en instellingen. Die zal dus eerst geüpdatet moeten worden door de IT-afdeling van zo'n bedrijf/instelling. Het is geen SharePoint 365 wat beheerd wordt door M$.
Dat is een beetje lastig als je niet weet van het bestaan van het lek. Als ik naar de CVE's kijk dan zijn ze 19 en 20 Juli 2025 ontdekt (dat zegt overigens niks over hoe lang ze al in de software zitten..).

Dan moet je daar resources voor vrij maken, die moeten zich inlezen etc etc. Naar mijn mening (ik heb de details van de CVE niet bekeken) zijn ze er toch rap bij.
Ik vraag me altijd af of wij in NL ook hackersgroepen hebben die shit in china flikken in opdracht van onze staat. Ben ook wel benieuwd wat iedereen hier daarvan vindt: Moeten we wel of niet inbreken bij landen waar we formeel nog niet mee in oorlog zijn?
Twee verschillen. Volgens de Nederlandse wet mogen onze diensten geen commerciële hacks uitvoeren. Dus bijv bedrijf spionage. Ze mogen wel dingen doen onder het mom van onze veiligheid.

Dus ja we doen wel dingen en hebben wel groepen die zich hiermee bezig houden maar niet zo actief en in your face als de andere landen doen.
Hoe valt die Nederlandse wet te rijmen met het optuigen van een nep bedrijf om fax van iransebedrijven te hacken?

Waren onze diensten illegal bezig? Nederlandse justitie is niet in actie gekomen toen het bekende werd.
Hiermee beperken we onszelf onder het mom van "de beter zijn".
Nee, maar ik vraag mij wel af waarom men geen stevige acties onderneemt tegen staatshackers, dit is min of meer toch een (digitale) inval. We zien het gebeuren, kijken ernaar en doen uiteindelijk hier niets tegen (?)
Bang voor de consequenties als men zelf betrapt wordt? Is NL niet een beetje gekend voor spionage?
Wat kun je eraan doen? Je weet niet welke personen erachter zitten en de andere statelijke actor zal ontkennen er iets mee te maken te hebben. Mocht je wel weten welke personen erachter zitten dan kun je wel een aanhoudingsbevel uitgeven maar dat heeft weinig nut als die personen niet naar de EU of een aangesloten partner reizen.
Als die landen ons tegenwerken: ja. Vind ik wel.

Zeker als zij hetzelfde eerst hebben gedaan.
Besteld. Dank voor de tip!
Ligt eraan of je formeel inbreekt of het stiekem doet. 8)7
in elk land zijn er criminelen die ingehuurd worden om vuile zaakjes op te knappen, dus waarom zou er in een technologisch ontwikkeld land als dat van jullie geen state-sponsored cybercrime zijn?

Of dat wel of niet gedaan moet worden laat ik over aan je eigen morele inschatting.
Ja !

Sterker, wij zouden Chinese producten moeten boycotten.

Europa is te militair afhankelijk van de VS, China is onze " fabriek" en voorheen waren wij gas junkies van Rusland.

De paradox is dat alledrie nu onbetrouwbaar zijn maar wel dik aan aan Europa willen verdienen en ons een verborgen ondemocratische politieke agenda willen opleggen.
Naar mijn mening overal ter wereld, en iedere natiestaat met de kennis en capaciteiten ervoor. Niet iedereen is je vriend. En inlichtingen verzamelen, kan ook heel veel kwaad voorkomen. Hoop alleen dat het gebeurt voor het beste voor je mensen,bevolking, en eigenlijk voor de veiligheid van de mensheid/wereld. Ben benieuwd hoelang het bijvoorbeeld duurt voordat AlquidaGPT getraind is lol.

En wat voor gevaar het kan brengen mits dat soort dingen niet van te voren gestopt kan worden.

Maar dit is meer mijn fantasie op vrije loop, maar het zal me niks verbazen. Wij burgers gebruiken de beschermde versie van de tools. Voor creativiteit/productiviteit. Maar statelijke actoren hebben natuurlijk de onbegrensde versie, en de versies die nog niet commercieel zijn ingezet. Die op ontwikkel bio wapen, of hoe creëer ik zoveel mogelijk chaos. Wel een antwoord op zal geven.

Daarom is het ook zo belangrijk, dat dit soort technologie wat ik als voorbeeld probeer te gebruiken, niet in de verkeerde handen komt. en dat doe je natuurlijk door onder andere inlichtingen te verzamelen.

Maar het grootste gedeelte was semi off topic denk ik, en meer een zorg die ik wou delen.

Maar het lijkt mij dat elk land het probeert.

Ben over het algemeen een optimist, maar het zijn bijzondere, spannende, interessante tijden. en ik vraag me oprecht af hoe de wereld er over 20 jaar uit zal zien. maar dat is vrij normaal denk ik.
De cloudservers die voor SharePoint Online in Microsoft 365 worden gebruikt, zijn volgens het bedrijf niet getroffen.

[Reactie gewijzigd door Alper587 op 23 juli 2025 11:05]

Wie heeft China bepaalde broncode gegeven? Juist - en is er niet zoiets als de kat en de melk?
Waarom zou je tegenwoordig SharePoint onprem nog via het internet willen ontsluiten? Kun je daar niet beter SharePoint Online voor gebruiken?
Heb de CVE niet bekeken, maar ook als het niet aan het internet hangt hoef je waarschijnlijk maar op 1 gebruiker zijn PC te raken om zo toegang te krijgen tot Sharepoint en deze alsnog te compromiteren. Veel kans dat uitgaand verkeer daar gewoon helemaal open staat.
Draait dat wel op server2000? Overheden doen veel aan "legacy" software. :+

[Reactie gewijzigd door ToolBee op 23 juli 2025 02:32]

Tijd dat we ons netwerk afschermen voor zulke schurkenstaten en gewoon terug aanvallen. Pak wat je pakken kan daar zou ik zeggen.

We doen te lief onder het mom van "anders verlagen we ons". Als iemand je in het gezicht slaat kan je twee dingen doen
  1. jezelf verdedigen
  2. niets want je bent beter dan degene die je slaat
Welke klinkt logisch?
Door alle artikelen over hacks de afgelopen jaren vraag ik me af of het voor een bedrijf haalbaar is om hun belangrijke data (inclusief klantgegevens) volledig lokaal te houden en dus niet met een openbaar netwerk te verbinden? Ik ben absoluut niet thuis in die wereld, maar verbaas me er toch wel telkens over dat veel bedrijfs- en klantgegevens geregeld in handen van ongewenste organisaties of personen komen. Dat zou je als bedrijf (of zelfs overheid) toch het liefst willen voorkomen lijkt me?
Gewoonlijk heb ik meer last van de updates en veranderingen die Microsoft op mijn systemen afdwingt dan van de hacks die door onverlaten op Microsoft software worden uitgevoerd.
Weer te laat met patchen. Hoeveel signalen heeft Microsoft nodig voordat on-prem security eindelijk prioriteit krijgt?

Op dit item kan niet meer gereageerd worden.