Volgens Kaspersky heeft Microsoft boter op het hoofd voor de recente SharePoint-lekken. Microsoft zou een gelijkaardige kwetsbaarheid uit 2020 onzorgvuldig hebben aangepakt.
Op 19 juli bond het Nederlandse beveiligingsbedrijf EyeSecurity de kat de alarmbel aan. Een potentieel gevaarlijke en actief uitgebuite kwetsbaarheid in SharePoint werd ontdekt. Inmiddels vinden wereldwijd aanvallen plaats: meer dan vierhonderd organisaties vielen al ten prooi. Microsoft wijst met beschuldigende vinger naar Chinese hackersverenigingen.
Maar Microsoft dient ook de hand in eigen boezem te steken, meent Kaspersky. Het beveiligingsbedrijf legde de SharePoint-lekken onder het vergrootglas en concludeerde dat ze niet uit het niets ontstaan zijn. De oorzaak kan teruggebracht worden tot een niet opgeloste kwetsbaarheid uit 2020.
Noodpatch
Hackers kunnen SharePoint-omgevingen van bedrijven aanvallen door gebruik te maken van verschillende aan elkaar gelinkte kwetsbaarheden. Daarbij gaat het om al iets langer gekende kwetsbaarheden (CVE-2025-49704 & CVE-2025-49706) als twee vers ontdekte zerodays (CVE-2025-53770 & CVE-2025-53771). De kwetsbaarheden maken het mogelijk om authenticatie te omzeilen en ransomwarezaadjes in XML-inhoud te plaatsen.
Microsoft heeft inmiddels noodpatches uitgebracht om de zerodays te dichten en adviseert bedrijven om SharePoint zo snel mogelijk bij te werken. Het niet tijdig doorvoeren van patches kan leiden tot volledige compromittering van systemen. De kwetsbaarheden treffen de on-prem versies van SharePoint en doen denken aan Exchange-aanvallen uit het verleden.
Vijf jaar te laat
Volgens Kaspersky zijn de updates echter een pleister op een wonde die al lang verzorgd had moeten worden. Het beveiligingsbedrijf ziet sterke gelijkenissen met een SharePoint-kwetsbaarheid uit 2020 (CVE-2020-1147). Microsoft pakte die kwetsbaarheid destijds onvoldoende aan waardoor aanvallers de exploit eenvoudig konden repliceren. De meest recente patch komt dus eigenlijk vijf jaar te laat, concludeert Kaspersky.
Microsoft heeft in het verleden al veel kritiek gekregen over hoe het zijn beveiliging aanpakt. Een Chinese spionagecampagne uit 2023 resulteerde zelfs in een overheidsonderzoek. Microsoft beloofde beterschap, maar fouten uit het verleden dreigen het opnieuw te achtervolgen.
lees ook
Oorzaak SharePoint-lek ligt bij ‘onvolledige’ patch door Microsoft
Securitybedrijven en nationale beveiligingsorganisaties waarschuwen bedrijven voor actieve aanvallen op SharePoint-servers. Het Belgische CCB vraagt Belgische bedrijven om zich te melden als ze het slachtoffer zijn geworden.