Casus: Microsoft SharePoint Server kwetsbaarheden
In het kort
- Er zijn recent ernstige kwetsbaarheden in Microsoft SharePoint Server ontdekt. Het NCSC heeft hier beveiligingsadviezen voor uitgebracht.
- Alleen on-premises versies van SharePoint Server zijn kwetsbaar. Microsoft geeft aan dat SharePoint Online, onderdeel van Microsoft 365, niet getroffen is.
- Een kwaadwillende kan de kwetsbaarheden misbruiken om op een SharePoint-systeem binnen te dringen. Als dat gebeurt, spreken we van misbruik van de kwetsbaarheid. Een kwaadwillende krijgt dan toegang tot gevoelige informatie, of kan aanvallen op andere onderdelen van de IT-omgeving uitvoeren.
- Het NCSC roept organisaties op om de maatregelen uit de beveilingsadviezen op te volgen en systemen te controleren op misbruik. Op deze pagina lichten we deze adviezen toe.
- Microsoft heeft inmiddels beveiligingsupdates beschikbaar gesteld om de kwetsbaarheden te verhelpen.
- In het geval van mogelijk misbruik wordt verzocht contact op te nemen met het NCSC.
Situatie
SharePoint: Wat is het?
Microsoft SharePoint Server is een webplatform dat gebruikt wordt voor het opslaan, organiseren en delen van informatie en documenten. Microsoft SharePoint Server wordt bijvoorbeeld gebruikt als samenwerkruimte en intranet.
De kwetsbaarheden zijn aanwezig in Microsoft SharePoint Server 2016, Microsoft SharePoint Server 2019 en Microsoft SharePoint Server Subscription Edition. SharePoint Online in Microsoft 365 bevat deze kwetsbaarheden niet, aldus Microsoft.
Kwetsbaarheden
De kwetsbaarheden hebben de kenmerken CVE-2025-53770 en CVE-2025-53771 gekregen. Inmiddels heeft Microsoft beveiligingsupdates beschikbaar gesteld om de kwetsbaarheden te verhelpen.
Bij meerdere Nederlandse en buitenlandse organisaties zijn kwetsbare systemen aangetroffen. Als een systeem kwetsbaar blijkt, betekent dat niet direct dat er misbruik heeft plaatsgevonden. Eerder heeft het NCSC voor de kwetsbaarheden beveiligingsadviezen opgesteld.
Voorkom misbruik
Voorkom dat de kwetsbaarheden op jouw SharePoint-omgeving worden misbruikt door het handelingsperspectieven in dit bericht op te volgen. Het NCSC monitort op mogelijk misbruik van de kwetsbaarheden in Microsoft SharePoint Server bij Nederlandse organisaties, en heeft verschillende organisaties waarbij de kwetsbaarheid is misbruikt hierover geïnformeerd.
Geen overlap met Citrix-casus
Het NCSC benadrukt dat de kwetsbaarheden in Microsoft SharePoint Server en Citrix NetScaler ADC en Citrix Gateway afzonderlijke casussen zijn, die geen verband houden met elkaar. Omdat de gevolgen vergelijkbaar zijn en de casussen gelijktijdig spelen, kan dit verwarring veroorzaken over de aard en samenhang van deze kwetsbaarheden.
Tijdlijn
Juli
- 8 juli: Microsoft informeert klanten over twee kwetsbaarheden in Microsoft SharePoint Server: CVE-2025-49704 en CVE-2025-49706. Het NCSC brengt beveiligingsadvies NCSC-2025-0215 uit over kwetsbaarheden CVE-2025-49704 en CVE-2025-49706 in Microsoft SharePoint Server.
- 14 juli: Een Proof-of-Concept wordt openbaar gemaakt van CVE-2025-49706 en CVE-2025-49704.
- 18 juli: Eye Security publiceert een blog waarin ze meldt actief misbruik te zien op Sharepoint.
- 19 juli: Microsoft informeert klanten over twee actief misbruikte kwetsbaarheden CVE-2025-53770 en CVE-2025-53771 in Microsoft SharePoint Server. Dit zijn nieuwe varianten van CVE-2025-49704 and CVE-2025-49706. Het NCSC verhoogt het beveiligingsadvies NCSC-2025-0215 over kwetsbaarheden CVE-2025-49704 en CVE-2025 naar High/High.
- 20 juli: Het NCSC brengt beveiligingsadvies NCSC-2025-0233 uit over kwetsbaarheden CVE-2025-53770 en CVE-2025-53771 in Microsoft SharePoint Server. Microsoft brengt een beveiligingsupdate uit voor Sharepoint 2019.
- 21 juli: Microsoft brengt een beveiligingsupdate uit voor Sharepoint 2016.
Duiding
- Systemen die bereikbaar zijn vanaf het internet zijn een populair doelwit voor kwaadwillende actoren.
- Microsoft SharePoint servers die vanaf het internet toegankelijk zijn, lopen het grootste risico op misbruik. Interne, ongepatchte Microsoft SharePoint Servers zonder directe internet-toegang kunnen wel misbruikt worden door gebruik te maken van de kwetsbaarheden. Indien kwaadwillenden via een andere methodiek de omgeving compromitteren kunnen ze van deze kwetsbaarheden gebruik maken om bijvoorbeeld vertrouwelijke informatie buit te maken van de kwetsbare server. Het patchen van niet internet-facing Microsoft SharePoint Servers is hierdoor ook van belang.
- In openbare berichtgeving wordt misbruik van deze kwetsbaarheden geattribueerd aan verschillende actoren. Het is voorstelbaar dat zowel statelijke als criminele actoren interesse hebben in deze kwetsbaarheden, bijvoorbeeld voor het bemachtigen van gevoelige gegevens of voor het uitvoeren van ransomware-aanvallen.
- Organisaties gebruiken Microsoft SharePoint Servers om informatie en documenten op te slaan, waaronder mogelijk grote hoeveelheden vertrouwelijke en gevoelige gegevens. Dit maakt het een extra aantrekkelijk doelwit.
Handelingsperspectief
Het NCSC doet actief onderzoek naar de kwetsbaarheden Microsoft SharePoint Server. Het NCSC deelt bevindingen via verschillende kanalen. Openbaar publiceert het NCSC beveiligingsadviezen over de kwetsbaarheden. Daarnaast wordt dit websitebericht bijgewerkt wanneer de situatie daarom vraagt.
Bescherm de belangrijkste systemen en processen. Dit kan bijvoorbeeld door het patchen van kwetsbaarheden in cruciale systemen, ook wel de Te Beschermen Belangen (TBB) genoemd. Doe dit op geprioriteerde wijze, waardoor de belangrijkste te beschermen belangen het beste (en snelste) beschermd worden. SharePoint wordt vaak gebruikt als centraal platform voor samenwerking en documentbeheer. Afhankelijk van wat er op je SharePoint omgeving staat, en hoe deze te bereiken is, kun je een inschatting maken hoe urgent het beveiligen van deze omgeving is. Als je SharePoint veel vertrouwelijke informatie bevat, zoals projectplannen, HR-documenten of klantgegevens en in verbinding staat met het internet, dan geeft dit meer urgentie.
Ook al is de kwetsbaarheid verholpen, dan kan het zo zijn dat misbruik al heeft plaatsgevonden . Zorg daarom voor passende detectiemogelijkheden. Dat biedt aanvullend zicht of jouw organisatie getroffen is. Zorg daarnaast voor goede incidentresponsplannen en wees voorbereid om te herstellen wanneer er een incident plaatsvindt.
Indien je indicaties hebt van mogelijk misbruik, neem contact op met het NCSC en/of je cybersecuritypartners. Wil je meer weten hoe het NCSC je kan ondersteunen bij een cyberincident? Op deze pagina kan je meer informatie vinden over bijstand van het NCSC en het maken van een melding.
Technisch handelingsperspectief
Voor SharePoint Server 2016, 2019, & SharePoint Subscription Edition heeft Microsoft updates gepubliceerd. Voer deze zo snel mogelijk uit.
Onderzoek mogelijk misbruik
Gebruik IoC's om te onderzoeken of er mogelijk misbruik heeft plaatsgevonden van de kwetsbaarheden in Microsoft Sharepoint Server bij jouw organisatie. Verwijzingen naar deze IoC's zijn te vinden in het beveiligingsadvies van het NCSC.
Microsoft heeft een stappenplan gepubliceerd dat naast de eerder genoemde maatregelen ook een aantal aanvullende maatregelen bevat, waaronder:
- Het aanzetten en correct configureren van Antimalware Scan Interface (AMSI). Dit mitigeert misbruik van de kwetsbaarheden, als je niet bent gepatcht en je machine keys roteert.
- Het roteren van machine keys voorkomt dat gecompromitteerde keys worden misbruikt die via misbruik van de kwetsbaarheden zijn verkregen.
- Schakel een Incident Response-partij in om te helpen bij technisch onderzoek en herstel van systemen.
- Neem contact op met het NCSC voor mogelijk aanvullende ondersteuning.