Eye Security ontdekt wereldwijde hack via kwetsbaarheid in Microsoft SharePoint
Afgelopen vrijdag 18 juli 2025 ontdekte Eye Security’s onderzoeksteam, Eye Research, als eerste een kritieke zero-day kwetsbaarheid in Microsoft SharePoint (CVE-2025-53770 en CVE-2025-53771), precies op het moment dat aanvallers deze op grote schaal begonnen te misbruiken. De bevindingen kregen wereldwijd erkenning, waarbij organisaties in diverse sectoren vertrouwden op de vroege waarschuwingen en ondersteuning van Eye Security om binnen enkele uren na de aanvallen te herstellen.
De kwetsbaarheid stelt aanvallers in staat om volledige controle over getroffen servers te krijgen. Dit betekent onbeperkte toegang tot vertrouwelijke bedrijfsdata, het stelen van cryptografisch materiaal, het installeren van achterdeurtjes en het ongezien bewegen door bedrijfsnetwerken. In veel gevallen kan dit leiden tot datadiefstal, ransomware-aanvallen en langdurige inbraken voor spionage doeleinden die zelfs na updates onopgemerkt blijven.
Massale uitbuiting in kaart gebracht door Eye Research
Op de avond van 18 juli ontdekte Eye Research verdachte activiteiten op de on-premises SharePoint-server van een klant. Een kwaadaardig bestand was geüpload dat cryptografische sleutels wist te exfiltreren. Met deze sleutels kunnen aanvallers authenticatie omzeilen en blijvende toegang behouden tot SharePoint-omgevingen, zelfs nadat reguliere patches zijn toegepast. Tijdens de analyse werd duidelijk dat Eye Security hier te maken had met een zero-day kwetsbaarheid die al actief in het wild werd misbruikt.
Na de ontdekking voerde Eye Research een wereldwijde scan uit van meer dan 8.000 publiek toegankelijke SharePoint-servers. Het team identificeerde tientallen gecompromitteerde systemen, waarmee werd bevestigd dat er sprake was van een gecoördineerde en grootschalige aanvalscampagne. Eye Security heeft vervolgens verantwoordelijke meldingen gedaan aan getroffen organisaties en nationale CERT’s, en werkt nauw samen met partners in de wereldwijde cybersecurity-community om de dreiging te beperken.
“Dit is geen theoretisch risico. Aanvallers misbruiken deze kwetsbaarheid actief om achterdeurtjes te installeren en gevoelige data van SharePoint-servers te stelen,” aldus Eye Security. “De impact reikt verder dan SharePoint alleen, omdat deze servers vaak zijn gekoppeld aan kernsystemen zoals e-mail en bestandsopslag.”
Microsoft bevestigt actieve uitbuiting
Microsoft heeft de ernst van het probleem erkend en de kwetsbaarheid aangemerkt als een kritieke zero-day met de identifiers CVE-2025-53770 en CVE-2025-53771. Het bedrijf heeft voorlopige richtlijnen gepubliceerd om organisaties te helpen hun omgeving te beveiligen.
Eye Security roept organisaties met on-premises SharePoint-servers op om direct actie te ondernemen. Het is cruciaal om systemen te onderzoeken op compromittering, getroffen servers te isoleren en mogelijk blootgestelde cryptografische sleutels te vernieuwen. Ook wordt geadviseerd om gespecialiseerde incident response-teams in te schakelen voor grondige analyses en herstel.
Snelle respons voor Eye Security-klanten
Voor klanten van Eye Security werd de aanval in een vroeg stadium ontdekt en gestopt. Ons 24/7 Security Operations Center (SOC) reageerde onmiddellijk door getroffen systemen te isoleren en het probleem aan te pakken. Verdere onderzoeken bevestigden dat er geen aanvullende inbraken plaatsvonden en dat klantomgevingen veilig bleven.
Meer informatie en technische aanbevelingen
- Eye Research blog: SharePoint Under Siege – het meest uitgebreide technische verslag, wereldwijd geciteerd door de media.
- Microsoft advisory over CVE-2025-53770
- Washington Post
- BleepingComputer
Meer over Security
Over Witold Kepinski
