Spoofingaanvallen richten zich op lokale SharePoint-installaties

Microsoft heeft noodpatches uitgebracht voor een reeks kritieke beveiligingslekken in zijn populaire samenwerkingssoftware SharePoint. De kwetsbaarheden worden momenteel actief misbruikt door hackers om gevoelige gegevens en inloggegevens te stelen. Het gaat specifiek om lokale versies van SharePoint de cloudvariant SharePoint Online (via Microsoft 365) is níet getroffen.

Volgens Microsoft zijn onder andere overheidsinstanties, bedrijven en universiteiten wereldwijd het doelwit geweest. De aanvallen maken gebruik van zogeheten spoofingtechnieken, waarbij aanvallers zich voordoen als een vertrouwde entiteit om toegang te krijgen tot interne systemen.

Wat is SharePoint precies?

Microsoft SharePoint is een platform waarmee teams documenten kunnen beheren, samenwerken aan projecten en interne websites kunnen bouwen. Het wordt vaak ingezet als intranet of documentbeheersysteem binnen organisaties. De software is beschikbaar als cloudservice via Microsoft 365 (SharePoint Online) of als lokaal geïnstalleerde versie op eigen servers (on-premises).

De aanvallen richten zich uitsluitend op die lokale versies.

Lekken ontdekt door Nederlandse beveiligingsfirma

De kwetsbaarheden, aangeduid als CVE-2025-53770 en CVE-2025-53771, werden op zaterdag publiek gemaakt door het Nederlandse cybersecuritybedrijf Eye Security. Volgens hun analyse vonden er vier golven van aanvallen plaats, waarbij tientallen systemen actief zijn gecompromitteerd.

De hackers maken gebruik van een aanvalsketen genaamd ToolShell, waarmee ze toegang kunnen krijgen tot SharePoint-bestanden en systeeminstellingen. Daarnaast stelt deze methode hen in staat om op afstand code uit te voeren op het netwerk een ernstig beveiligingsrisico.

Welke versies zijn getroffen?

Microsoft heeft cumulatieve patches uitgebracht voor de volgende edities van SharePoint:

• SharePoint Server Subscription Edition
• SharePoint Server 2019
• SharePoint Server 2016

De cloudgebaseerde SharePoint Online-variant blijft volledig buiten schot. Volgens Microsoft wordt deze versie standaard beter beschermd tegen dit soort aanvallen door het gebruik van moderne beveiligingsprotocollen en automatische updates.

Microsoft opnieuw onder vuur om beveiliging

De softwaregigant ligt vaker onder vuur vanwege beveiligingsproblemen. In 2024 moest het bedrijf zich verantwoorden tegenover het Amerikaanse Congres, nadat kwetsbaarheden in zijn systemen e-mailaccounts van federale ambtenaren in gevaar brachten. Ook eerder leidde een update van Windows 10 tot een nieuw lek, vergelijkbaar met wat sommige SharePoint-gebruikers nu meemaken.

Aangezien meer dan 200.000 organisaties en 190 miljoen mensen wereldwijd SharePoint gebruiken, is de impact van deze kwetsbaarheid potentieel groot al betreft het dus alleen de lokale installaties.

Conclusie

Gebruik je SharePoint op je eigen server? Dan is het belangrijk om zo snel mogelijk de nieuwste beveiligingspatches van Microsoft te installeren. Werk je in de cloud via Microsoft 365? Dan zit je voorlopig veilig. Maar ook dan blijft waakzaamheid geboden cybercriminelen zoeken voortdurend naar nieuwe zwakke plekken.

Veelgestelde vragen (FAQ)

Wat is het verschil tussen SharePoint Online en on-premises?
SharePoint Online draait in de cloud via Microsoft 365 en wordt beheerd door Microsoft. On-premises betekent dat de software lokaal op eigen servers draait, wat meer flexibiliteit biedt maar ook meer eigen verantwoordelijkheid voor updates en beveiliging.

Moet ik als Microsoft 365-gebruiker iets doen?
Nee, SharePoint Online is niet getroffen door deze kwetsbaarheden. Wel is het altijd verstandig om bewust om te gaan met toegang, rollen en wachtwoorden binnen je organisatie.

Hoe weet ik of mijn SharePoint-versie kwetsbaar is?
Gebruik je SharePoint Server 2016, 2019 of Subscription Edition op eigen servers? Dan loop je risico. Controleer je versie en installeer direct de nieuwste beveiligingsupdates via de officiële Microsoft-website.