Microsoft: lek in Sharepoint Server wordt misbruikt voor ransomwareaanvallen

De kwetsbaarheid in SharePoint Server wordt misbruikt voor het verspreiden van ransomware, schrijft Microsoft. Volgens onderzoekers van Eye Security zijn meer dan vierhonderd organisaties slachtoffer geworden van het lek.

De Chinese hackersgroep Storm-2603 gebruikt de kwetsbaarheid om via Group Policy Objects de Warlock-ransomware te verspreiden, zegt Microsoft in een blogpost. Volgens de techgigant is het doel van de groep nog onduidelijk. Het was al bekend dat de kwetsbaarheid wordt uitgebuit door aan China gelieerde groepen, maar Microsoft dacht in eerste instantie dat ze vooral erop uit waren om gevoelige gegevens te stelen.

De problemen spelen bij SharePoint Server 2016, SharePoint Server 2019 en SharePoint Server Subscription Edition. Inmiddels heeft Microsoft fixes uitgebracht voor deze drie versies. Microsoft geeft nu aan dat klanten naast het patchen van SharePoint Server ook de ASP.NET-machinekeys moeten roteren om te voorkomen dat kwaadwillenden toegang behouden tot de servers. Het Nederlandse cyberbeveiligingsbedrijf Eye Security, dat de kwetsbaarheid ontdekte, zegt dat minstens vierhonderd organisaties slachtoffer zijn geworden van het lek, al zijn het er volgens het bedrijf waarschijnlijk nog veel meer.

Door Kevin Krikhaar

Redacteur

Feedback • 24-07-2025 15:52 29

24-07-2025 • 15:52

29

Lees meer

Microsoft Sharepoint

geen prijs bekend

Microsoft stopt SharePoint-onderhoud door Chinese teams na hacks met staatssteun
Microsoft stopt SharePoint-onderhoud door Chinese teams na hacks met staatssteun Nieuws van 25 augustus 2025
Netwerkprovider Colt is slachtoffer van cyberaanval, diensten worden verstoord
Netwerkprovider Colt is slachtoffer van cyberaanval, diensten worden verstoord Nieuws van 15 augustus 2025
Google betaalt 250.000 dollar bugbounty voor ernstige kwetsbaarheid in Chromium
Google betaalt 250.000 dollar bugbounty voor ernstige kwetsbaarheid in Chromium Nieuws van 11 augustus 2025
Dell patcht kwetsbaarheden in ControlVault die Windows-login kunnen omzeilen
Dell patcht kwetsbaarheden in ControlVault die Windows-login kunnen omzeilen Nieuws van 6 augustus 2025
Belastingdienst Curaçao is maandag weer operationeel na ransomwareaanval
Belastingdienst Curaçao is maandag weer operationeel na ransomwareaanval Nieuws van 2 augustus 2025
Microsoft: drie Chinese hackersgroepen misbruiken SharePoint-kwetsbaarheid
Microsoft: drie Chinese hackersgroepen misbruiken SharePoint-kwetsbaarheid Nieuws van 22 juli 2025
Microsoft brengt fix uit voor misbruikte kwetsbaarheden in SharePoint Server
Microsoft brengt fix uit voor misbruikte kwetsbaarheden in SharePoint Server Nieuws van 21 juli 2025
Meer producten en artikelen
Servers Programming Microsoft Cybercrime Cybersecurity Sharepoint

Reacties (29)

-Moderatie-faq
29
27
16
4
0
8
Wijzig sortering
HKLM_
24 juli 2025 16:06
Hoe ik het begrijp is dat je SharePoint server alleen kwetsbaar is als je AMSI integration (Windows Antimalware Scan Interface) uit hebt staan?? iets wat met een September 2023 security update default aangezet is door MSFT.

Dan heb je het als organisatie dus bewust uit gezet of nooit geupdate. Daarnaast is het exposen van je SharePoint server direct aan het internet ook wel een dingetje tegenwoordig.

[Reactie gewijzigd door HKLM_ op 24 juli 2025 16:24]

DaniëlWW2 Moderator GC @HKLM_24 juli 2025 16:36
Volgens Microsoft zou je inderdaad niet kwetsbaar moeten zijn als je AMSI enabled hebt op je SharePoint servers. Maar daar moet je hier niet op gaan vertrouwen. Dit is een klassiek geval van zero trust methodieken volgen.

The following mitigating factors might be helpful in your situation:

Customers who have enabled the AMSI integration feature and use Microsoft Defender across their SharePoint Server farm(s) are protected from this vulnerability. For more information, see Configure AMSI integration with SharePoint Server.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770

Want deze malware komt binnen en maakt gebruik van een exploit in w3wp.exe. Daarmee worden andere commando's gelanceerd. Via services.exe wordt zo Defender uitgezet en dan heb je niks meer aan AMSI. AMSI moet ingrijpen bij het misbruik van w3wp.exe. Doet die dat niet, dan is die verdedigingslinie gepasseerd. Vervolgens wordt er ingezet op persistence (dus andere malware op de poort open te houden) en dan ga je kijken naar dingen zoals credentials uit Local Security Authority Subsystem Service halen. Daarvoor heb je dan weer je ASR rules en MDE. Heb je dat ook niet, tja is je hacker aardig binnen. Dan ga je het waarschijnlijk ook niet meer detecteren totdat het te laat is.
HKLM_
@DaniëlWW224 juli 2025 18:07
Goede uitleg thx, helaas kom ik nog veel te veel bedrijven tegen die geen AV oplossing (XDR, ASR erc) op servers toepassen.
DaniëlWW2 Moderator GC @HKLM_24 juli 2025 19:05
Geen EDR/XDR is een ding. Die zijn uiteindelijk ook niet gratis en vragen vaak om extra personeel om te monitoren. Een beetje formaat organisatie moet eigenlijk wel in deze wereld waarin alles verbonden is, zeker met hybride werken, maar die prioriteiten stellen is lastig, totdat de ransomware deployed is. :X

Geen antivirus is nogal twijfelachtig ja aangezien je Defender Antivirus gewoon bij Windows Server krijgt. :P Ja een exclusion policy maken voor bijvoorbeeld MSSQL is irritant, maar als je databases een beetje standaard installeert, dan is dat ook geen grote last.

En je kan die ASR regels ook configureren zonder MDE af te nemen bij Microsoft. Niet dat dit lekker werkt. Het werkt gewoon niet als je het via SCCM configureert (tenminste voor servers), je mist features met Group Policies, er zit nauwelijks tot geen ontwikkeling in en Microsoft pusht je echt om wel MDE te kopen, juist om het te beheren en false positives te troubleshooten. Want dat lijkt me al helemaal niet leuk, maar het kan. Maar je wil in ieder geval deze rule eigenlijk gewoon aan hebben:

Block credential stealing from the Windows local security authority subsystem

En wat kan die irritant zijn. :P

Linux heb ik minder ervaring mee, maar ook daar heb je opties, zeker voor EDR/XDR, maar ook antivirus.

[Reactie gewijzigd door DaniëlWW2 op 24 juli 2025 19:05]

PolarBear @DaniëlWW224 juli 2025 19:15
Volgens Microsoft zou je inderdaad niet kwetsbaar moeten zijn als je AMSI enabled hebt op je SharePoint servers. Maar daar moet je hier niet op gaan vertrouwen. Dit is een klassiek geval van zero trust methodieken volgen.
Dit is toch precies waarom je iets als AMSI hebt, zero days proberen te voorkomen? Ik snap niet precies waarom je niet op de uitspraak van Microsoft mag vertrouwen in dit geval?

ASMI integratie is precies wat dit soort zaken zou tegen moeten houden. En het zal niet onfeilbaar zijn, maar ik mag toch aannemen dat Microsoft niet zomaar zegt dat het deze aanval tegen hield.
The AMSI integration functionality is designed to prevent malicious web requests from reaching SharePoint endpoints. For example, to exploit a security vulnerability in a SharePoint endpoint before the official fix for the security vulnerability has been installed.

[Reactie gewijzigd door PolarBear op 24 juli 2025 19:18]

DaniëlWW2 Moderator GC @PolarBear24 juli 2025 19:24
Omdat je nooit vertrouwen moet op een laag. :)
Microsoft zegt dat AMSI deze specifieke CVE kan mitigeren. Maar wat als er nu een variant opduikt die wel doorgelaten word?

Dus je update die servers en je checkt je AMSI configuraties en je draait wat validaties om te zien of de malware er niet toch al is. En je hebt je ASR regels en je hebt je EDR/XDR. Als je dat allemaal goed geconfigureerd hebt en malware komt daar allemaal doorheen, tja dan heb je te maken met iets echt geavanceerd. Dan was het een kansloze missie en kan het zomaar een targeted attack zijn geweest.

Maar voor alles daaronder heb je laag na laag na laag. Het gaat er ook niet om dat meteen alles wordt afgevangen bij de antivirus scanner. Die zou de simpele malware moeten stoppen. Daarna maak je er een soort uitputtingsslag van waar telkens nieuwe linies opgeworpen zijn. En ergens loopt de meeste malware dan vast.
beerse @HKLM_24 juli 2025 16:44
Een sharepoint server hoeft niet direct aan internet te hangen om vatbaar te zijn. De afgelopen maand zijn er genoeg kwetsbaarheden in de publiciteit gekomen waarmee kwaadwillenden binnen kunnen komen. Dan is de sharepoint server al snel gevonden. En die staat daar toch met de bedoeling dat alle collega's er wel bij kunnen.
Baardmeester @HKLM_24 juli 2025 19:07
Ik weet niet hoe het met sharepoint zit, maar met exchange 365 wilt microsoft dat je hun security producten gebruikt en jouw "eigen" security producten omzeild. Neem even aan dat organisaties die sharepoint gebruiken en amsi uit hebben staan gewoon een andere antimalware product gebruiken. Als sharepoint dan alleen veilig zou zijn met amsi dan ligt het toch echt aan Microsoft dat het niet secure by design is.
Trinitronic @HKLM_25 juli 2025 00:36
Heel het idee en gedachtegang van MS is fout, het zou al veilig moeten zijn zonder die Antimalware Scan Interface. Maar MS denkt nog steeds ouderwets, niet de lekken voorkomen bij de bron maar extra software lagen er boven op doen.
Trinitronic 25 juli 2025 00:32
Voor geïnteresseerden hier Dave Plummer een ex Microsoft Engineer die wat meer uitleg geeft

YouTube: Windows SharePoint Hacked Worldwide: Ex-Microsoft Engineer's Urgent Warning & Fix!
Skit3000 24 juli 2025 16:06
Microsoft geeft nu aan dat klanten naast het patchen van SharePoint Server ook de ASP.NET-machinekeys moeten roteren om te voorkomen dat kwaadwillenden toegang behouden tot de servers.
Ik zou er niet op gokken dat met het roteren van die machinekeys de kous af is. Als een kwaadwillende eerder al toegang heeft gekregen (en wil houden) tot je server, zal die vast in de tussentijd al (meerdere) andere backdoors op hebben gezet.
dehardstyler @Skit300024 juli 2025 16:27
Dit zeggen ze omdat alleen de patch niet de oplossing is. Je moet ook de keys roteren, omdat ze anders na het patchen nog steeds gewoon toegang hebben. Dit wordt hier onder andere beschreven: https://blog.leakix.net/2025/07/using-their-own-weapons-for-defense-a-sharepoint-story/
At that moment, spinstall0.aspx was of particular interest, the massive exploitation going on was basically installing a rogue file meant to dump SharePoint’s security keys, which can be used later to take control of the server, even after patching.
Mathijs Kok @Skit300024 juli 2025 20:30
[...]

Ik zou er niet op gokken dat met het roteren van die machinekeys de kous af is.
Maar dat zegt Microsoft toch ook niet?
Accretion 24 juli 2025 16:05
De reden om zo'n on-premise SharePoint te draaien is dat je bestanden/policies hebt waarbij de bestanden niet op een (buitenlandse) cloud mogen staan omdat ze privacy gevoelig of geheim zijn?

Dat maakt dat lek wel erg vervelend.

Maar dat het misbruikt wordt, is dan weer niet heel opmerkelijk.
OruBLMsFrl @Accretion24 juli 2025 16:19
Juist in zo een omgeving kun je toch niet een SharePoint server vervolgens direct aan internet hangen? Daar moet je altijd voor zulke zaken een VPN voor zetten. En misschien nog wel eerst een VPN, Citrix, Windows365, of andere zulke combinaties met minimaal 2 lagen voor echt gevoelige documenten.
firest0rm @OruBLMsFrl24 juli 2025 18:28
Wat is het nut van sharepoint als je het niet op het internet gebruikt?

Een VPN is letterlijk een backdoor creëren naar je beveiligde omgeving.
Dit terwijl SharePoint 365 prima overweg kan met SSO beleidsinstellingen en GeoFencing.

De SharePoint 365 diensten zijn zoals ik het kan zien niet geraakt.
Lijkt mij dat je "privé" server bij voorbaat minder veilig is.

Blijf het toch interessant vinden dat men denkt veiliger te zijn door een prive server te draaien in kantoortje dan op een cloud platform van Microsoft... Microsoft heeft zo veel meer kennis en Resources om dit soort zaken tegen te gaan.

[Reactie gewijzigd door firest0rm op 24 juli 2025 18:36]

Firestorm666 @firest0rm24 juli 2025 21:37
Ondanks al hun kennis en resources... vindt ik 365 niet bijster betrouwbaar. Wat dat betreft doet Google het stukken beter.

Het grote verschil tussen cloud en onpremise is dat cloud infrastructuur wegneemt die je ook niet moet onderhouden zoals servers, dat is volledig in handen van de clouddienst. Dat cloud zoveel veiliger is, is ook gewoon onzin hoor, alles hangt af hoe iets geconfigureerd is.

En veiligheidslekken komen ook voor bij clouddiensten.

Cloud is vooral geweldig op papier, in de praktijk is het heel wat minder.

Ik werk voor een MSP, dus kom wel in contact met verschillende soorten omgevingen. Kan ook wel zeggen dat we soms een nieuwe klant hebben, waar de vorige IT partner er echt een zootje van heeft gemaakt.
Zoop @OruBLMsFrl24 juli 2025 16:28
Inderdaad, met zo'n eisenpakket zou je toch wel verwachten dat de rest dan toch ook op zijn minst op orde is? Een keer uitgelekte credentials, en ze kunnen alsnog bij alles? Al is het maar om geen resources te hoeven besteden aan brute force attempts of ander irritant bot verkeer.
klakkie.57th @OruBLMsFrl24 juli 2025 16:29
Precies waarom zou je een sharepoint rechtstreeks aan het internet willen hangen, dat is toch vragen om problemen 🤷🏻‍♂️
Quintiemero @Accretion24 juli 2025 17:57
Nja, vaker omdat die servers er gewoon nog zijn en voor de meeste geen specifieke afweging.
bigtree 24 juli 2025 16:24
De naam Sharepoint heeft vanaf nu een compleet andere betekenis gekregen
GamesBond @bigtree24 juli 2025 17:13
Hahaha, inderdaad!
Webgnome @DigitalDr24 juli 2025 17:07
Waar doel je op precies? Microsoft maakt oa. software. Software word gemaakt door mensen. Mensen maken fouten. Microsoft maakt fout. Zo simpel is het. Heeft in eerste instantie niks te maken met winsmaximalisatie etc.
biteMark @DigitalDr24 juli 2025 17:33
Ik snap de (zure) -1 ook niet echt, als bedrijf van hun formaat is het niet meer dan logisch dat ze klanten beschouwen als melkvee en zoveel mogelijk geld willen verdienen met zo weinig mogelijk effort. Gevolg daarvan is dat hun software verre van perfect is en dat wij - de klanten - daar last van hebben.

Microsoft bashen is van alle tijden en soms ook wel erg gemakkelijk. De achteruitgang is ook wel een beetje drieledig natuurlijk: ten eerste hoeven ze geen moeite meer te doen om klanten binnen te harken dus hun effort zal minder zijn (bijv. eerder field testen dmv beta’s ipv meer en uitgebreider in-house voordat de beta’s de deur uitgaan); ten tweede wordt software steeds complexer en dus vatbaarder voor bugs en ten derde zit tegenwoordig bijna alles en iedereen op het internet, veel meer dan bijvoorbeeld in het XP-tijdperk. Daarnaast is de impact ook veel groter dan destijds want we vertrouwen met z’n allen steeds meer gevoelige data aan de systemen toe.
DrWaltman @biteMark24 juli 2025 21:40
Volgens mij geeft jouw laatste alinea aan waarom Microsoft echt wel hun best doet, slechte naam zorgt voor minder klanten en minder geld.

Maar het blijft natuurlijk een bedrijf, dus moet er geld verdiend worden. Oneindig geld pompen in checks is een utopie, dat kost veel mee dan het oplevert en dan nog zullen en bugs worden gevonden.
Webgnome @biteMark25 juli 2025 06:34
"Daarnaast is de impact ook veel groter dan destijds want we vertrouwen met z’n allen steeds meer gevoelige data aan de systemen toe."

Bedankt dat je met deze twee zinnen je hele betoog onderuit schoffelt. Vertrouwen komt te voet en gaat de paard.
OuweDorper @Webgnome25 juli 2025 11:26
Vond de eerste zin ook al genoeg. Ik krijg het idee dat biteMark niet snapt wat een commercieel bedrijf is, en dat zo een mega bedrijf niet blijft bestaan als ze brakke software uitbrengen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq