Casus: Microsoft SharePoint Server kwetsbaarheden

Nieuwsbericht | 23-07-2025 | 18:27

Op deze pagina gaat het NCSC verder in op de recent ontdekte kwetsbaarheden in Microsoft SharePoint Server en bieden we handelingsperspectief in het omgaan met deze kwetsbaarheden.

In het kort

Er zijn recent ernstige kwetsbaarheden in Microsoft SharePoint Server ontdekt. Het NCSC heeft hier beveiligingsadviezen voor uitgebracht.
Alleen on-premises versies van SharePoint Server zijn kwetsbaar. Microsoft geeft aan dat SharePoint Online, onderdeel van Microsoft 365, niet getroffen is.
Een kwaadwillende kan de kwetsbaarheden misbruiken om op een SharePoint-systeem binnen te dringen. Als dat gebeurt, spreken we van misbruik van de kwetsbaarheid. Een kwaadwillende krijgt dan toegang tot gevoelige informatie, of kan aanvallen op andere onderdelen van de IT-omgeving uitvoeren.
Het NCSC roept organisaties op om de maatregelen uit de beveilingsadviezen op te volgen en systemen te controleren op misbruik. Op deze pagina lichten we deze adviezen toe.
Microsoft heeft inmiddels beveiligingsupdates beschikbaar gesteld om de kwetsbaarheden te verhelpen.
In het geval van mogelijk misbruik wordt verzocht contact op te nemen met het NCSC.

Situatie

SharePoint: Wat is het?

Microsoft SharePoint Server is een webplatform dat gebruikt wordt voor het opslaan, organiseren en delen van informatie en documenten. Microsoft SharePoint Server wordt bijvoorbeeld gebruikt als samenwerkruimte en intranet.

De kwetsbaarheden zijn aanwezig in Microsoft SharePoint Server 2016, Microsoft SharePoint Server 2019 en Microsoft SharePoint Server Subscription Edition. SharePoint Online in Microsoft 365 bevat deze kwetsbaarheden niet, aldus Microsoft.

Kwetsbaarheden

De kwetsbaarheden hebben de kenmerken CVE-2025-53770 en CVE-2025-53771 gekregen. Inmiddels heeft Microsoft beveiligingsupdates beschikbaar gesteld om de kwetsbaarheden te verhelpen.

Bij meerdere Nederlandse en buitenlandse organisaties zijn kwetsbare systemen aangetroffen. Als een systeem kwetsbaar blijkt, betekent dat niet direct dat er misbruik heeft plaatsgevonden. Eerder heeft het NCSC voor de kwetsbaarheden beveiligingsadviezen opgesteld.

Voorkom misbruik

Voorkom dat de kwetsbaarheden op jouw SharePoint-omgeving worden misbruikt door het handelingsperspectieven in dit bericht op te volgen. Het NCSC monitort op mogelijk misbruik van de kwetsbaarheden in Microsoft SharePoint Server bij Nederlandse organisaties, en heeft verschillende organisaties waarbij de kwetsbaarheid is misbruikt hierover geïnformeerd.

Geen overlap met Citrix-casus

Het NCSC benadrukt dat de kwetsbaarheden in Microsoft SharePoint Server en Citrix NetScaler ADC en Citrix Gateway afzonderlijke casussen zijn, die geen verband houden met elkaar. Omdat de gevolgen vergelijkbaar zijn en de casussen gelijktijdig spelen, kan dit verwarring veroorzaken over de aard en samenhang van deze kwetsbaarheden.

Tijdlijn

Juli 2025

Duiding

Systemen die bereikbaar zijn vanaf het internet zijn een populair doelwit voor kwaadwillende actoren.
Microsoft SharePoint servers die vanaf het internet toegankelijk zijn, lopen het grootste risico op misbruik. Interne, ongepatchte Microsoft SharePoint Servers zonder directe internet-toegang kunnen wel misbruikt worden door gebruik te maken van de kwetsbaarheden. Indien kwaadwillenden via een andere methodiek de omgeving compromitteren kunnen ze van deze kwetsbaarheden gebruik maken om bijvoorbeeld vertrouwelijke informatie buit te maken van de kwetsbare server. Het patchen van niet internet-facing Microsoft SharePoint Servers is hierdoor ook van belang.
In openbare berichtgeving wordt misbruik van deze kwetsbaarheden geattribueerd aan verschillende actoren. Het is voorstelbaar dat zowel statelijke als criminele actoren interesse hebben in deze kwetsbaarheden, bijvoorbeeld voor het bemachtigen van gevoelige gegevens of voor het uitvoeren van ransomware-aanvallen.
Organisaties gebruiken Microsoft SharePoint Servers om informatie en documenten op te slaan, waaronder mogelijk grote hoeveelheden vertrouwelijke en gevoelige gegevens. Dit maakt het een extra aantrekkelijk doelwit.

Handelingsperspectief

Bescherm de belangrijkste systemen en processen. Dit kan bijvoorbeeld door het patchen van kwetsbaarheden in cruciale systemen, ook wel de Te Beschermen Belangen (TBB) genoemd. Doe dit op geprioriteerde wijze, waardoor de belangrijkste te beschermen belangen het beste (en snelste) beschermd worden. SharePoint wordt vaak gebruikt als centraal platform voor samenwerking en documentbeheer. Afhankelijk van wat er op je SharePoint omgeving staat, en hoe deze te bereiken is, kun je een inschatting maken hoe urgent het beveiligen van deze omgeving is. Als je SharePoint veel vertrouwelijke informatie bevat, zoals projectplannen, HR-documenten of klantgegevens en in verbinding staat met het internet, dan geeft dit meer urgentie.

Technisch handelingsperspectief

Voor SharePoint Server 2016, 2019, & SharePoint Subscription Edition heeft Microsoft updates gepubliceerd. Voer deze zo snel mogelijk uit.

Onderzoek mogelijk misbruik

Gebruik IoC's om te onderzoeken of er mogelijk misbruik heeft plaatsgevonden van de kwetsbaarheden in Microsoft Sharepoint Server bij jouw organisatie. Verwijzingen naar deze IoC's zijn te vinden in het beveiligingsadvies van het NCSC.

Microsoft heeft een stappenplan gepubliceerd dat naast de eerder genoemde maatregelen ook een aantal aanvullende maatregelen bevat, waaronder:

Het aanzetten en correct configureren van Antimalware Scan Interface (AMSI). Dit mitigeert misbruik van de kwetsbaarheden, als je niet bent gepatcht en je machine keys roteert.
Het roteren van machine keys voorkomt dat gecompromitteerde keys worden misbruikt die via misbruik van de kwetsbaarheden zijn verkregen.

Meer informatie

https://advisories.ncsc.nl/advisory?id=NCSC-2025-0215

https://advisories.ncsc.nl/advisory?id=NCSC-2025-0233

https://www.ncsc.nl/actueel/nieuws/2025/07/20/kwetsbaarheden-in-microsoft-sharepoint-server-actief-misbruikt

https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/

https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

https://research.eye.security/sharepoint-under-siege/

Casus: Microsoft SharePoint Server kwetsbaarheden

In het kort

Situatie

Tijdlijn

Juli 2025

8 juli

14 juli

18 juli

19 juli

20 juli

21 juli

Duiding

Handelingsperspectief

Technisch handelingsperspectief

Onderzoek mogelijk misbruik

Meer informatie

Casus: Microsoft SharePoint Server kwetsbaarheden

In het kort

Situatie

Tijdlijn

Juli 2025

Duiding

Handelingsperspectief

Blijf communicatie van het NCSC volgen

Pas preventieve maatregelen toe

Besteed aandacht aan detectie en respons

Onderneem actie bij indicatie van misbruik

Technisch handelingsperspectief

Patch & update

Neem aanvullende maatregelen om jouw omgeving te beschermen

Reageer als je mogelijk misbruik waarneemt

Meer informatie

Deel deze pagina