VS deelt informatie over malware aangetroffen bij SharePoint-aanvallen
Het Amerikaanse cyberagentschap CISA heeft informatie gedeeld over malware die bij recente aanvallen tegen Microsoft SharePoint-servers is aangetroffen. Met de informatie kunnen organisaties kijken of hun SharePoint-servers zijn gecompromitteerd. Bij de aanvallen die in juli werden waargenomen maakten aanvallers volgens Microsoft misbruik van drie SharePoint-lekken: CVE-2025-49704, CVE-2025-49706 en CVE-2025-53770. Voor deze kwetsbaarheden kwam Microsoft met updates, alsmede voor een vierde SharePoint-lek aangeduid als CVE-2025-53771. Microsoft stelde dat deze kwetsbaarheid niet is misbruikt. Het CISA acht misbruik van dit lek wel waarschijnlijk, omdat het met CVE-2025-53770 is te combineren.
De kwetsbaarheden maken het mogelijk voor een remote ongeauthenticeerde aanvaller om code op de SharePoint-server uit te voeren. Bij de aanvallen werden verschillende webshells gebruikt. Via een webshell kan een aanvaller toegang tot een gecompromitteerd systeem behouden en verdere aanvallen uitvoeren. Daarnaast gebruikten de aanvallers ook malware om de machine key van de SharePoint-server te stelen. Met deze machine keys kan de aanvaller toegang behouden, ook wanneer de server is gepatcht.
De door het CISA gedeelde informatie bestaat uit namen, SHA-hashes en YARA-rules voor het detecteren van de malware. Het Amerikaanse cyberagentschap roept organisaties op de gegeven indicators of compromise (IOC's) en detection signatures te gebruiken bij het onderzoeken van hun eigen SharePoint-servers. Volgens securitybedrijf Eye Security zijn bij de aanvallen zo'n 400 servers van 145 verschillende organisaties gecompromitteerd.
Dankzij CVE-2025-49704, 49706, 53770 én een bonuslek (53771) krijgen aanvallers opnieuw een uitgelezen kans om zichzelf ongeauthenticeerd in jouw server te nestelen. Remote code execution? Check. Webshells? Uiteraard. En alsof dat nog niet feestelijk genoeg is: ze jatten ook de machine key, zodat ze gezellig kunnen blijven hangen — zelfs ná een patch. Gezellig hoor, zo’n permanente gast op je systeem.
Microsoft zegt: "Die vierde kwetsbaarheid is nog niet misbruikt."
CISA zegt: "Jullie onderschatten de creativiteit van cybercriminelen."
En wij zeggen: hoe dan ook te laat.
Gelukkig deelt CISA wél netjes SHA-hashes, YARA-rules en IOC’s, zodat je zelf mag uitzoeken of jouw server inmiddels dienstdoet als lanceerplatform voor cyberaanvallen. Preventie is zó 2022 — detectie is het nieuwe normaal.
145 organisaties en 400 servers zijn al de pineut. Het begint bijna op een challenge te lijken: hoeveel gaten kun je in één product vinden voor de volgende Patch Tuesday?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?