In juli 2025 zijn ernstige zero-day kwetsbaarheden ontdekt in Microsoft SharePoint Server 2016, 2019 en Subscription Edition. Deze werden actief uitgebuit in een beveiligingscampagne onder de naam “ToolShell”, waarbij kwetsbaarheden zoals CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 en CVE-2025-53771 werden gebruikt om ongeautoriseerd toegang te verkrijgen en remote code uit te voeren.
De aanvallen zijn gekoppeld aan drie geavanceerde China-gerelateerde actoren, waaronder Storm‑2603, Linen Typhoon en Violet Typhoon, die ransomware zoals Warlock en LockBit inzetten na toegang tot interne systemen. Inmiddels zijn meer dan 400 organisaties geraakt, waaronder instellingen binnen de overheid, zorg en infrastructuur.
Microsoft en de Amerikaanse CISA waarschuwen dat de lekken ernstige gevolgen kunnen hebben zoals machine key-diefstal voor langdurige toegang en het ondermijnen van MFA-vereisten. In reactie daarop zijn patches en mitigaties sterk aanbevolen, waaronder AMSI in Full Mode, herconfiguratie van MachineKeys en inzet van EDR/Defender tools.
Wat organisaties moeten doen:
- Patch onmiddellijk alle SharePoint-systemen.
- Activeer Antimalware Scan Interface (AMSI) en EDR-tools.
- Draai threat hunting scans op verdachte .aspx/.dll payloads en w3wp.exe-activiteit.
- Analyseer logs voor potentiële sporen van MachineKey-diefstal.
- Evalueer de security posture conform NIS2, ISO 27001 en AVG.
