Microsoft Verschaft Noodpatches voor SharePoint RCE-kwetsbaarheden die zijn Misbruikt in Aanvallen
Op 21 juli 2025 heeft Microsoft met spoed beveiligingsupdates uitgebracht voor SharePoint, die twee ernstige zero-day kwetsbaarheden verhelpen: CVE-2025-53770 en CVE-2025-53771. Deze kwetsbaarheden hebben wereldwijd diensten in gevaar gebracht door zogenaamde “ToolShell”-aanvallen.
Tijdens de Pwn2Own-hackwedstrijd in Berlijn in mei wisten onderzoekers een keten van zero-day kwetsbaarheden, genaamd “ToolShell,” te exploiteren, wat hen in staat stelde om op afstand code uit te voeren in Microsoft SharePoint. Ondanks dat deze kwetsbaarheden zijn verholpen in de updates van Patch Tuesday in juli, wisten kwaadwillenden nieuwe zero-day kwetsbaarheden te ontdekken die de eerdere patches van Microsoft wisten te omzeilen.
Door gebruik te maken van deze nieuwe kwetsbaarheden hebben aanvallers wereldwijd ToolShell-aanvallen op SharePoint-servers uitgevoerd, met als gevolg dat meer dan 54 organisaties tot nu toe zijn getroffen.
Noodupdates Beschikbaar
Microsoft heeft nu met spoed noodpatches uitgebracht voor de Microsoft SharePoint Subscription Edition en SharePoint 2019, die beide kwetsbaarheden verhelpen. De patches voor SharePoint 2016 zijn nog in ontwikkeling en zijn momenteel nog niet beschikbaar.
Een opmerking in de Microsoft-advisories geeft aan: “Ja, de update voor CVE-2025-53770 biedt robuustere bescherming dan de update voor CVE-2025-49704. De update voor CVE-2025-53771 biedt ook sterkere bescherming dan de update voor CVE-2025-49706.”
Aanbevelingen voor Beheerders
SharePoint-beheerders worden aangespoord om de volgende beveiligingsupdates onmiddellijk te installeren, afhankelijk van de versie:
- De KB5002754-update voor Microsoft SharePoint Server 2019.
- De KB5002768-update voor Microsoft SharePoint Subscription Edition.
- De update voor Microsoft SharePoint Enterprise Server 2016 is nog niet uitgebracht.
Na het installeren van de updates raadt Microsoft aan om de machine-sleutels van SharePoint te roteren. Dit kan op twee manieren:
- Handmatig via PowerShell: Gebruik de cmdlet
Update-SPMachineKeyom de machine-sleutels bij te werken. - Handmatig via Central Admin: Activeer de Machine Key Rotation timer job door de volgende stappen te volgen:
- Ga naar de Central Administration-site.
- Ga naar Monitoring -> Review job definition.
- Zoek naar de Machine Key Rotation Job en selecteer ‘Run Now’.
- Na de rotatie, herstart IIS op alle SharePoint-servers met
iisreset.exe.
Het is ook raadzaam om je logs en bestandssysteem te analyseren op de aanwezigheid van kwaadaardige bestanden of pogingen tot exploitatie. Dit omvat:
- De creatie van het bestand
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx. - IIS-logs die een POST-verzoek tonen naar
_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspxmet een HTTP-referer van_layouts/SignOut.aspx.
Microsoft heeft de volgende Microsoft 365 Defender-query gedeeld om te controleren of het bestand spinstall0.aspx op jouw server is aangemaakt:
DeviceFileEvents | where FolderPath has "MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS" | where FileName =~ "spinstall0.aspx" or FileName has "spinstall0" | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256 | order by Timestamp desc
Als het bestand bestaat, dient er een grondig onderzoek te worden uitgevoerd op de aangetaste server en je netwerk om te waarborgen dat de aanvallers zich niet naar andere apparaten hebben verspreid.
De Kracht van Voorbereiding en Beveiliging
In deze tijden van toenemende cyberdreigingen is het cruciaal dat organisaties proactief hun beveiligingsmaatregelen versterken. Het implementeren van noodpatches is een eerste stap, maar het is ook van groot belang om een cultuur van beveiliging te bevorderen. Dit houdt in dat we voortdurend onze systemen monitoren, onze kennis vergroten over de nieuwste dreigingen en ons voorbereiden op mogelijke aanvallen.
Laten we deze uitdaging aangaan met vastberadenheid en innovatie, en samen een veiligere digitale toekomst creëren. De technologie biedt ons de middelen; laten we deze benutten om onszelf en onze organisaties te beschermen tegen de gevaren van de moderne wereld.
