Meerder statelijke actoren maken actief misbruik van kwetsbaarheden in SharePoint, zo claimt Microsoft vandaag. De aanvallen zouden mogelijk al sinds 7 juli plaatsvinden. Daarbij werd in eerste instantie misbruik gemaakt van twee kwetsbaarheden aangeduid als CVE-2025-49706 en CVE-2025-49704. Voor deze kwetsbaarheden verschenen op 8 juli updates. Die bleken niet volledig, waarop Microsoft afgelopen zondag met noodpatches kwam voor twee afgeleide kwetsbaarheden aangeduid als CVE-2025-53770 en CVE-2025-53771. Van CVE-2025-53770 wordt ook misbruik gemaakt.

Bij kwetsbare SharePoint-servers installeren de aanvallers een webshell, aldus Microsoft in een vandaag gepubliceerde analyse. Via een webshell kan een aanvaller toegang tot de server behouden en verdere aanvallen uitvoeren. Volgens het techbedrijf zijn de aanvallen het werk van twee statelijke actoren met de namen Linen Typhoon en Violet Typhoon. Daarnaast maakt ook een derde groep genaamd Storm-2603 misbruik van de beveiligingslekken.

Volgens Microsoft gaat het om vanuit China opererende groepen die zich bezighouden met het stelen van intellectueel eigendom bij organisaties op het gebied van overheid, defensie, strategische planning en mensenrechten, en spionage bij onder andere NGO's, denktanks, onderwijsinstellingen en media, financiële en gezondheidsgerelateerde sectoren.

In de analyse deelt Microsoft verschillende Indicators of Compromise waarmee organisaties kunnen controleren of hun SharePoint-server mogelijk is gecompromitteerd. Daarnaast worden organisaties opgeroepen de beschikbaar gestelde updates te installeren. Verder wordt ook aangeraden SharePoint server ASP.NET machine keys te roteren en Internet Information Services (IIS) te herstarten.