Het Nationaal Cyber Security Centrum (NCSC), Microsoft en het Amerikaanse cyberagentschap CISA waarschuwen voor actief misbruik van een kritieke kwetsbaarheid in Microsoft SharePoint, waardoor ongeauthenticeerde aanvallers kwetsbare servers op afstand kunnen overnemen. Volgens The Shadowserver Foundation zijn er in Nederland honderden SharePoint-servers vanaf het internet toegankelijk. Het is onbekend of deze ook kwetsbaar zijn. Microsoft heeft gisterenavond noodpatches uitgebracht voor SharePoint Server 2019 en SharePoint Server Subscription Edition.

Het beveiligingslek, aangeduid als CVE-2025-53770, maakt ongeauthenticeerde remote code execution op de server mogelijk. Microsoft waarschuwde op 19 juli dat het bekend was met aanvallen op on-premises SharePoint-servers, waarbij misbruik werd gemaakt van kwetsbaarheden die gedeeltelijk via de updates van juli waren verholpen. Het ging daarbij om updates voor CVE-2025-49704 en CVE-2025-49706. Microsoft heeft nu twee nieuwe SharePoint-updates uitgebracht (CVE-2025-53770 en CVE-2025-53771), die een "robuustere bescherming" moeten bieden dan de vorige twee updates.

Microsoft spreekt over misbruik van kwetsbaarheden, maar laat in de beveiligingsbulletins weten dat alleen misbruik van CVE-2025-53770 plaatsvindt. Aanvallen vonden al plaats voordat updates beschikbaar waren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Organisaties die van SharePoint gebruikmaken worden door Microsoft opgeroepen de beschikbaar gestelde updates meteen te installeren. Securitybedrijf Eye Security spreekt over grootschalig misbruik van het SharePoint-lek en stelt dat wereldwijd tientallen SharePoint-servers zijn gecompromitteerd.

The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld naar kwetsbare systemen op internet scant, meldt dat het 9300 ip-adressen van SharePoint-servers op internet heeft waargenomen, waarvan zevenhonderd in Nederland. Hoeveel er daarvan kwetsbaar zijn is onbekend. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft ook actief misbruik van het SharePoint-lek bevestigd.

Het NCSC laat weten dat naast CVE-2025-53770 ook twee andere kwetsbaarheden worden misbruikt. Het zou dan gaan om CVE-2025-49704 en CVE-2025-49706. De overheidsinstantie waarschuwt organisaties ook voor de SharePoint-lekken en zegt dat het actief misbruik heeft waargenomen. "Deze kwetsbaarheden in Microsoft SharePoint Server staan los van de kwetsbaarheden in de Citrix-producten waarvoor het NCSC al eerder waarschuwde", aldus het NCSC. Het CISA heeft Amerikaanse overheidsinstanties opgedragen om de gisteren uitgebrachte updates uiterlijk vandaag te installeren.

Update