CVE-2025-53770 Zero-Day kwetsbaarheid
Een ernstige beveiligingslek in Microsoft SharePoint Server is het doelwit geworden van een aanhoudende, grootschalige cyberaanval. Deze kwetsbaarheid, die wordt gevolgd als CVE-2025-53770 met een CVSS-score van 9,8, is geclassificeerd als een zero-day en is nauw verwant aan CVE-2025-49704 (CVSS 8.8), een bug die code-injectie en uitvoering van code op afstand mogelijk maakte en die werd verholpen tijdens de Microsoft Patch Tuesday-updates van juli 2025. Het lek is het gevolg van de deserialisatie van niet-vertrouwde gegevens, waardoor aanvallers schadelijke code op afstand en zonder de juiste autorisatie kunnen uitvoeren.
Inhoudsopgave
Actieve aanvallen en getroffen systemen
Onderzoekers hebben bevestigd dat cybercriminelen deze kwetsbaarheid actief misbruiken tegen on-premises SharePoint Server-instanties. Belangrijk is dat SharePoint Online in Microsoft 365 onaangetast blijft. De aanvallers misbruiken de manier waarop SharePoint omgaat met niet-vertrouwde objecten tijdens deserialisatie, waardoor ze opdrachten kunnen uitvoeren vóór gebruikersauthenticatie. Eenmaal binnen het systeem kunnen aanvallers vervalste payloads genereren met behulp van gestolen machinesleutels, wat laterale verplaatsing en permanente toegang mogelijk maakt. Dit maakt detectie en mitigatie lastig, omdat hun activiteiten legitiem SharePoint-verkeer kunnen nabootsen.
Complexe Exploitketens
Er zijn aanwijzingen dat CVE-2025-53770 samen met andere kwetsbaarheden wordt gebruikt, waaronder CVE-2025-49706 (een spoofingbug met een CVSS-score van 6,3) en CVE-2025-49704, om een geavanceerde exploitketen te vormen die bekendstaat als ToolShell. Aanvallers gebruiken CVE-2025-49706 om payloads voor code-uitvoering op afstand te leveren die CVE-2025-49704 exploiteren. Door '_layouts/SignOut.aspx' als HTTP-referer toe te voegen, wordt CVE-2025-49706 naar verluidt omgezet in CVE-2025-53770, wat een gestroomlijnder exploitatieproces mogelijk maakt.
De aanvallen maken meestal gebruik van ASPX-payloads die via PowerShell worden aangeleverd, met als doel de MachineKey-configuratie van de server (ValidationKey en DecryptionKey) te stelen. Deze sleutels zijn cruciaal omdat ze aanvallers in staat stellen schadelijke __VIEWSTATE-payloads te maken die SharePoint als geldig accepteert, waardoor elk geverifieerd verzoek in feite een mogelijkheid tot externe code-uitvoering wordt.
Schaal van compromis
Tot nu toe zijn wereldwijd meer dan 85 SharePoint-servers gecompromitteerd, met gevolgen voor minstens 29 organisaties, waaronder multinationals en overheidsinstellingen. Zodra aanvallers de cryptografische sleutels hebben, wordt herstel veel ingewikkelder. Zelfs na het installeren van een beveiligingspatch kunnen aanvallers met gestolen sleutels nog steeds toegang behouden, tenzij ze handmatig worden gewijzigd of opnieuw worden geconfigureerd.
Mitigerende maatregelen
Totdat een officiële patch beschikbaar was, adviseerde Microsoft organisaties om de integratie van Antimalware Scan Interface (AMSI) in SharePoint in te schakelen. Klanten die AMSI niet konden activeren, werd sterk aangeraden om kwetsbare SharePoint-servers los te koppelen van het internet.
Naar aanleiding van aanhoudende meldingen van misbruik heeft Microsoft patches uitgebracht voor zowel CVE-2025-53770 als een nieuw ontdekte fout, CVE-2025-53771, om kwetsbare systemen te beschermen.
Waarschuwing van CISA
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing afgegeven waarin actieve exploitatie van CVE-2025-53770 wordt bevestigd. Deze kwetsbaarheid stelt aanvallers in staat om ongeauthenticeerde, externe code uit te voeren via het netwerk, wat een ernstige bedreiging vormt voor elke ongepatchte SharePoint-omgeving.
