Kritieke kwetsbaarheid in SharePoint Server: dit moet je weten
Microsoft heeft een ernstige beveiligingswaarschuwing afgegeven voor een zero-day kwetsbaarheid in de SharePoint Server. Deze kwetsbaarheid stelt aanvallers in staat om op afstand code uit te voeren en zo systemen over te nemen. Instellingen die gebruikmaken van on-premises SharePoint Servers worden dringend opgeroepen om maatregelen te nemen.
Let op: deze waarschuwing geldt enkel voor de on-premises servers van SharePoint. Gebruik je SharePoint online in Microsoft 365? Dan hoef je geen maatregelen te nemen.
Wat houdt de aanval in?
De kwetsbaarheid, geregistreerd als CVE-2025-53770, maakt het mogelijk dat kwaadwillenden via een speciaal geprepareerde aanvraag volledige controle krijgen over een SharePoint Server. Microsoft meldt dat deze aanvalsvector sinds 18 juli actief wordt gebruikt, ondanks eerdere beveiligingsupdates. De aanval maakt gebruik van technieken die tijdens het Pwn2Own-evenement in mei al werden gedemonstreerd.
Voor welke versies van SharePoint geldt het?
De kwetsbaarheid treft uitsluitend on-premises versies van SharePoint Server, dat wil zeggen servers die fysiek bij de organisatie draaien. SharePoint Online, onderdeel van Microsoft 365, is niet vatbaar voor deze aanval.
Gebruik je als school SharePoint in de cloud (Microsoft 365)? Dan hoef je geen actie te ondernemen. Draai je een eigen SharePoint Server lokaal? Dan is het essentieel om direct in te grijpen.
Wat kun jij doen?
Gebruik je binnen de school een on-premises SharePoint Server? Dan zijn er enkele urgente stappen die je moet nemen:
Installeer de updates direct
Microsoft heeft noodpatches beschikbaar gesteld voor SharePoint Server 2019 en de Subscription Edition. Voor 2016 volgt de patch binnenkort. Download en installeer deze updates zo snel mogelijk.
De volgende versies zijn (of worden binnenkort) voorzien van beveiligingsupdates:
- SharePoint Server 2019 – update beschikbaar
- SharePoint Server Subscription Edition – update beschikbaar
- SharePoint Server 2016 – update in ontwikkeling, volgt spoedig
Download hier de beveiligingsupdate via de website van Microsoft.
Isoleren als patchen niet lukt
Als het (nog) niet mogelijk is om te patchen, adviseert Microsoft om de betreffende server tijdelijk van het internet los te koppelen om verdere schade te voorkomen.
Controleer op compromittering
Controleer of het verdachte bestand spinstall0.aspx voorkomt op de server en of er verdachte HTTP-aanvragen in de IIS-logs staan. Zo ja? Start dan onmiddellijk een forensisch onderzoek en haal de server offline.
Versterk de beveiliging
- Zorg dat AMSI (Antimalware Scan Interface) is ingeschakeld. Dit is sinds september 2023 standaard actief, maar een extra controle is aan te raden.
- Installeer en activeer Microsoft Defender Antivirus op de server.
- Roteer ASP.NET-machinekeys na het installeren van de updates of activeren van AMSI. Zo voorkom je dat gestolen validatiesleutels opnieuw gebruikt kunnen worden.
Tot slot: gebruik je SharePoint Server lokaal in de schoolomgeving? Wacht dan niet af. De aanvalsmethodes zijn geavanceerd, actief in omloop en de impact bij misbruik is groot. Heb je vragen over extra beveiliging van SharePoint of weet je niet zeker of je de online of on-premises versie van SharePoint gebruikt? Neem dan contact met ons op.