Ransomware-aanval treft meer dan 400 SharePoint-servers

sharepoint

Een kritieke kwetsbaarheid in Microsoft SharePoint-servers is op grote schaal misbruikt door hackers.

Meer dan 400 organisaties zijn al getroffen door een ransom-aanval op Sharepoint-servers, waaronder het Amerikaanse Department of Energy en National Nuclear Security Administration (NNSA), verantwoordelijk voor het beheer van de Amerikaanse kernwapens.

Storm-2603 verspreidt ransomware via SharePoint-lek

Beveiligingsbedrijf Redmond bevestigde woensdag dat de groep Storm-2603 actief misbruik maakt van recent gepatchte kwetsbaarheden in SharePoint. De groep installeert ransomware na toegang te verkrijgen via kwetsbaarheden CVE-2025-49704 (remote code execution) en CVE-2025-49706 (spoofing).

lees ook

CCB vraagt Belgische slachtoffers SharePoint-hack zich te melden

Storm-2603 voert vervolgens systeemcommando’s uit zoals whoami, schakelt Microsoft Defender uit door het register aan te passen, en installeert persistentie via webshells en .NET-assemblies. Zo worden wachtwoorden gestolen en laterale beweging binnen het netwerk mogelijk gemaakt. De ransomware wordt uiteindelijk uitgerold via aangepaste Group Policy Objects (GPO’s).

Kwetsbaarheid treft kritieke sectoren

De kwetsbaarheden treffen SharePoint Enterprise Server 2016, Server 2019 en de Subscription Edition. Microsoft bracht maandag patches uit nadat de exploits eerder dat weekend publiek werden gemaakt. Volgens beveiligingsbedrijf Eye Security begonnen de aanvallen op 17 juli en vonden ze plaats in meerdere golven.

lees ook

Microsoft beschuldigt Chinese hackers van misbruik SharePoint-bug

Check Point Research meldt dat ook andere overheden, telecombedrijven en softwareleveranciers getroffen zijn. Microsoft stelt dat naast Storm-2603 ook twee Chinese staatsgroepen verantwoordelijk zijn: Linen Typhoon (APT27) en Violet Typhoon (APT31). Hoewel Storm-2603 naar verluidt Chinees is, wordt het niet gelinkt aan de Chinese staat.

Exploits online beschikbaar

Tot slot waarschuwt Microsoft dat meerdere proof-of-concept-exploits beschikbaar zijn, waaronder nieuwe bugs (CVE-2025-53770 en CVE-2025-53771) die misbruikt kunnen worden in combinatie met de eerder ontdekte lekken. Bedrijven die nog geen beveiligingsupdates hebben toegepast, lopen volgens Microsoft een ernstig risico. “Andere actoren zullen deze exploits blijven gebruiken om onbeschermde SharePoint-servers aan te vallen,” aldus Redmond in The Register.