'SharePoint kwetsbaarheden stammen voort uit onvolledige fix van 2020'
De recentelijk misbruikte ToolShell-kwetsbaarheden in Microsoft SharePoint vinden hun oorsprong in een onvolledige fix voor CVE-2020-1147, die al in 2020 werd gemeld. Dit blijkt uit onderzoek van Kaspersky's Global Research and Analysis Team (GReAT).
De SharePoint-kwetsbaarheden zijn dit jaar uitgegroeid tot een grote cyberbeveiligingsdreiging door actieve misbruikpogingen. Het Kaspersky Security Network heeft wereldwijd exploitatiepogingen waargenomen, gericht op organisaties in sectoren als overheid, financiën, productie, bosbouw en landbouw. Kaspersky-oplossingen hebben ToolShell-aanvallen proactief gedetecteerd en geblokkeerd nog voordat de kwetsbaarheden publiekelijk bekend werden.
Onderzoekers van Kaspersky GReAT analyseerden de gepubliceerde ToolShell-exploit en vonden deze opvallend vergelijkbaar met de exploit van CVE-2020-1147 uit 2020. Dit wijst erop dat de patch CVE-2025-53770 in feite een effectieve oplossing is voor de kwetsbaarheid die CVE-2020-1147 vijf jaar geleden al probeerde te verhelpen.
De link met CVE-2020-1147 werd duidelijk na de ontdekking van CVE-2025-49704 en CVE-2025-49706, die op 8 juli werden gepatcht. Echter, deze fixes konden worden omzeild door een enkele schuine streep toe te voegen aan de exploit-payload. Toen Microsoft hoorde van actieve exploitatie van deze kwetsbaarheden, reageerden ze met uitgebreide patches die potentiële omzeilingsmethoden aanpakten, waarbij de kwetsbaarheden werden aangeduid als CVE-2025-53770 en CVE-2025-53771. De toename van aanvallen op SharePoint-servers wereldwijd vond plaats in het venster tussen de initiële exploitatie en de volledige implementatie van de patches.
Detectie
Ondanks dat er nu patches beschikbaar zijn voor de ToolShell-kwetsbaarheden, verwacht Kaspersky dat aanvallers deze keten nog jarenlang zullen blijven misbruiken.
"Veel spraakmakende kwetsbaarheden worden jaren na ontdekking nog steeds actief misbruikt — ProxyLogon, PrintNightmare en EternalBlue brengen vandaag de dag nog steeds ongepatchte systemen in gevaar. We verwachten dat ToolShell hetzelfde patroon zal volgen: het gemak van exploitatie betekent dat de publieke exploit spoedig zal verschijnen in populaire penetratietools, wat zorgt voor langdurig gebruik door aanvallers," aldus Boris Larin, principal security researcher bij Kaspersky GReAT.
Om veilig te blijven, adviseert Kaspersky het volgende:
- Organisaties die Microsoft SharePoint gebruiken, moeten onmiddellijk de nieuwste beveiligingspatches toepassen. Dit geldt voor alle kwetsbaarheden met een hoog risico, aangezien zelfs korte blootstelling tot compromittering kan leiden.
- Implementeer cyberbeveiligingsoplossingen die beschermen tegen zero-day exploits wanneer patches nog niet beschikbaar zijn. Kaspersky Next, met zijn Behavior Detection-component, blokkeert proactief de exploitatie van dergelijke kwetsbaarheden.
Voor een volledig rapport over dit onderwerp kunt u terecht op Securelist.com.
