Microsoft heeft een actief aangevallen kwetsbaarheid ook in SharePoint Server 2016 verholpen. Afgelopen zondag verschenen er al beveiligingsupdates voor SharePoint Server 2019 en SharePoint Subscription Edition. Nu is er ook een patch voor de 2016-versie van SharePoint beschikbaar. Microsoft roept organisaties op om de updates meteen te installeren.

Het beveiligingslek waar aanvallers misbruik van maken wordt aangeduid als CVE-2025-53770 en maakt ongeauthenticeerde remote code execution op de server mogelijk. Microsoft waarschuwde op 19 juli dat het bekend was met aanvallen op on-premises SharePoint-servers. Securitybedrijf Eye Security spreekt over grootschalig misbruik van het SharePoint-lek en stelt dat wereldwijd tientallen SharePoint-servers zijn gecompromitteerd. De eerste aanvalsgolf nam het securitybedrijf op 17 juli waar. Waarschijnlijk ging het hier om een testrun van de aanvallers. Vervolgens vonden op 18 en 19 grotere aanvalsgolven plaats die zeer succesvol waren, aldus het bedrijf.

Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, spreekt ook over grootschalig misbruik. Volgens The Shadowserver Foundation zijn in Nederland 680 SharePoint-servers vanaf het internet toegankelijk. Of die ook kwetsbaar zijn is onbekend. Het Dutch Institute for Vulnerability Disclosure (DIVD) laat weten dat aanvallers via de kwetsbaarheid een backdoor op servers installeren. De organisatie is bezig met het zoeken naar gecompromitteerde servers om vervolgens de betreffende organisatie te waarschuwen.