CERT-Alert: Critical SharePoint 0-day kwetsbaarheden exploited
Update (status: 22 juli)
Sinds de publicatie van ons eerste advies op 21 juli over het actief misbruiken van twee zero-day kwetsbaarheden die SharePoint On-Premises-instanties treffen, is er nieuwe informatie beschikbaar gekomen. Er zijn inmiddels meerdere Proof of Concepts (PoC’s) en checkers gepubliceerd. Palo Alto en Sophos hebben ook nieuwe Indicators of Compromise (IoC’s) gedeeld. Volgens Censys is het aantal blootgestelde SharePoint-servers niet afgenomen en blijft het rond de 10.000 instanties. Dit aantal omvat zowel nog kwetsbare als reeds gepatchte servers.
Op 22 juli om 00:30 (CEST) kondigde Microsoft aan dat er nu een specifieke patch beschikbaar is voor alle ondersteunde versies van SharePoint, inclusief Microsoft SharePoint Enterprise Server 2016.
Verschillende organisaties zouden via deze zero-days zijn gecompromitteerd, waaronder federale en staatsinstanties in de Verenigde Staten, evenals bedrijven in de financiële sector, het onderwijs, de energiesector en de gezondheidszorg.
Het CERT van Orange Cyberdefense monitort deze dreiging actief en analyseert en verzamelt gerelateerde IoC’s (beschikbaar voor onze Datalake-klanten). Aangezien er nu ook een PoC publiek beschikbaar is, handhaven we het dreigingsniveau van dit advies op het maximale niveau van 5 op 5.
Wat is er gebeurd
Twee gekoppelde kwetsbaarheden die SharePoint-servers treffen, werden onthuld tijdens een beveiligingsconferentie in mei 2025 en gepatcht in juli 2025: deze kwetsbaarheden maken authenticatieomzeiling en uitvoering van externe code mogelijk, wat volledige overname van on-premise SharePoint-instanties mogelijk maakt.
Op 18 juli werden grootschalige exploitatiecampagnes ontdekt door een securitybedrijf.
Op 19 juli maakte Microsoft bekend dat een variant van de oorspronkelijke aanvalsketen, nu aangeduid als CVE-2025-53770 en CVE-2025-53771, in het wild is waargenomen. Ongeveer 10.000 blootgestelde SharePoint-servers lopen risico op compromittering: tientallen gehackte instanties wereldwijd, voornamelijk in de VS, Europa en Azië, zijn geïdentificeerd.
Wat dit betekent
Details over de exploitatie:
Palo Alto Networks beschrijft drie variaties van de exploitatieketen:
Een PowerShell-commando wordt uitgevoerd via een shell, die door web.config-bestanden iterereert en de inhoud opslaat in een bestand genaamd
debug_dev.js.& 3. Beide variaties gebruiken het IIS Process Worker-proces (w3wp.exe) om een Base64-gecodeerd PowerShell-commando uit te voeren. Dit commando decodeert naar een script dat een bestand
spinstall0.aspxaanmaakt, een webshell die gevoelige informatie zoalsValidationKeys,DecryptionKeysenCompatabilityModekan ophalen. Het verschil zit in het pad waarin het bestand wordt geschreven:16\TEMPLATE\LAYOUTSversus15\TEMPLATE\LAYOUTS. De derde variant wijzigt ook variabelen naar enkele karakters en voegt eensleep-functie toe aan het einde.
Naast spinstall0.aspx zijn er ook andere varianten zoals spinstall*.aspx, info3.aspx en xxx.aspx, zoals gemeld door Sophos en Sentinel One.
Tot slot meldde Ján Trenčanský dat de tunnelingtool Ngrok wordt gebruikt om PowerShell-scripts te verspreiden na compromittering. Charles Carmakal, CTO van Mandiant, bevestigde in Washington Post dat meerdere dreigingsactoren, waaronder één gelinkt aan China, de kwetsbaarheid actief misbruiken.
Wiz's teams rapporteerde dat 9% van de cloudomgevingen (zoals Azure of AWS) die aan het internet zijn blootgesteld, kwetsbaar kunnen zijn voor CVE-2025-53770 en CVE-2025-53771.
Analyse van PoC’s en checkers
Er zijn meerdere PoC's en checkers en gepubliceerd om beheerders te helpen controleren of hun systemen kwetsbaar zijn. Deze injecteren een kwaadaardige WebPart via de pagina ToolPane.aspx, met als doel een onveilige .NET-deserialisatie te activeren via het attribuut CompressedDataTable.
Het script controleert of de pagina /layouts/15/toolpane.aspx toegankelijk is. Als dat zo is, wordt een POST-verzoek in bewerkingsmodus verzonden met een HTML WebPart die de payload bevat. Deze payload bevat een .NET gadget chain, vaak gegenereerd met tools zoals ysoserial.net.
Als de server kwetsbaar is, leidt de verwerking van de WebPart tot uitvoering van de payload, die verbinding kan maken met een command-and-control server via de --c2-optie.
Sommige checkers detecteren ook indicatoren van compromittering, beoordelen de status van lokale beveiliging en adviseren directe mitigerende maatregelen.
Het dreigingsniveau blijft voorlopig op 5 van de 5, aangezien verwacht wordt dat meer opportunistische aanvallen zullen plaatsvinden vanwege de publieke beschikbaarheid van exploitcode.
Kwetsbare versies van SharePoint
De aanvalsketen maakt gebruik van een spoofing-kwetsbaarheid in de manier waarop de applicatie de HTTP Referer-header verwerkt bij de ToolPane-endpoint, wat uitvoering van externe code mogelijk maakt.
De kwetsbare SharePoint-versies zijn:
- Microsoft Microsoft SharePoint Enterprise Server 2016
- Microsoft Microsoft SharePoint Server 2019
- Microsoft Microsoft SharePoint Server Subscription Edition (3SE)
Wat je moet doen
- Patches zijn nu beschikbaar voor alle drie de getroffen versies en moeten zo snel mogelijk worden toegepast.
- Microsoft adviseert alle klanten om de AMSI-beveiligingsfunctie in te schakelen. Deze voorkomt dat ongeauthenticeerde verzoeken de zero-day variant (CVE-2025-53770) kunnen misbruiken.
- Als AMSI niet kan worden ingeschakeld of als patchen vandaag niet mogelijk is, raadt Microsoft aan om de server tijdelijk van het internet los te koppelen.
- Daarnaast wordt aanbevolen om uit voorzorg de ASP.NET-machinekeys van de SharePoint Server te roteren.
- Beheerders wordt ook aangeraden om alle POST-verzoeken naar
/layouts/15/ToolPane.aspx?DisplayMode=Editte monitoren.
Kwetsbare servers moeten worden gepatcht, aangezien aanvallers actief op zoek zijn naar systemen om te misbruiken. Als patchen niet mogelijk is, blijven de aanbevelingen uit het oorspronkelijke advies van kracht. Het actief zoeken naar exploitpogingen wordt sterk aanbevolen. Raadpleeg de Microsoft Consumer Guidance voor meer informatie over patching en mitigatie.