Microsoft: Chinese staatsactoren exploiteren kwetsbaarheden SharePoint Servers

De kwetsbaarheden in detail

Het betreft specifiek twee kwetsbaarheden die aanvankelijk werden gemeld: CVE-2025-49706 (een spoofing-kwetsbaarheid) en CVE-2025-49704 (een kwetsbaarheid voor externe code-uitvoering). Deze lekken treffen uitsluitend on-premises SharePoint servers en hebben géén impact op SharePoint Online in Microsoft 365.

Microsoft heeft inmiddels uitgebreide beveiligingsupdates uitgebracht voor alle ondersteunde versies van SharePoint Server (Subscription Edition, 2019 en 2016). Deze updates dichten niet alleen de eerder genoemde kwetsbaarheden, maar adresseren ook nieuwe, gerelateerde lekken: CVE-2025-53770 (een omzeiling van authenticatie) en CVE-2025-53771 (een beveiligingsbypass). Het is van cruciaal belang dat deze updates per direct worden geïnstalleerd.

Chinese staatsactoren in het vizier

Microsoft Threat Intelligence heeft vastgesteld dat ten minste drie Chinese dreigingsactoren deze kwetsbaarheden actief exploiteren. Het gaat om:

• Linen Typhoon: Deze groep richt zich sinds 2012 op het stelen van intellectueel eigendom, voornamelijk bij overheden, defensie, strategische planning en mensenrechtenorganisaties. Ze staan bekend om het gebruik van bestaande exploits.
• Violet Typhoon: Sinds 2015 richt deze spionagegroep zich op voormalig overheids- en militair personeel, NGO's, denktanks, hoger onderwijs en media in de VS, Europa en Oost-Azië. Ze scannen voortdurend op kwetsbaarheden in blootgestelde webinfrastructuur.
• Storm-2603: Deze China-gebaseerde dreigingsactor, waarvan de link met andere Chinese groeperingen nog onduidelijk is, wordt geassocieerd met pogingen om MachineKeys te stelen via de SharePoint-kwetsbaarheden. Eerder heeft deze groep Warlock en Lockbit ransomware ingezet.

Met de snelle adoptie van deze exploits verwacht Microsoft met grote zekerheid dat dreigingsactoren ze zullen blijven integreren in hun aanvallen op niet-gepatchte on-premises SharePoint-systemen.

Waargenomen tactieken en technieken

De aanvallers voeren verkenningen uit en proberen exploits te lanceren via een POST-verzoek naar het ToolPane-eindpunt. Na succesvolle authenticatie-bypass en externe code-uitvoering, maken ze gebruik van webshells als payload.

Webshell-implementatie: Aanvallers uploaden een kwaadaardig script genaamd spinstall0.aspx (met variaties zoals spinstall.aspx, spinstall1.aspx, etc.) naar de SharePoint-server. Dit script bevat commando's om MachineKey-gegevens op te halen en terug te sturen naar de aanvaller, wat diefstal van sleutelmateriaal mogelijk maakt.

Directe acties voor organisaties

Microsoft adviseert alle organisaties met on-premises SharePoint servers om de volgende stappen onmiddellijk te ondernemen:

1. Installeer de nieuwste beveiligingsupdates:
   • Microsoft SharePoint Server Subscription Edition: KB5002768
   • Microsoft SharePoint Server 2019: KB5002754 en KB5002753 (Language Pack)
   • Microsoft SharePoint Server 2016: KB5002760 en KB5002759 (Language Pack)
2. Zorg voor de juiste configuratie van Antimalware Scan Interface (AMSI) en Microsoft Defender Antivirus (of gelijkwaardig): Schakel AMSI in en configureer deze in "Full Mode" op alle SharePoint-servers. Dit voorkomt dat niet-geauthenticeerde aanvallers de kwetsbaarheden kunnen exploiteren.
3. Roteer SharePoint server ASP.NET machine keys: Na het toepassen van de updates of het inschakelen van AMSI, is het essentieel om de Machine Keys te roteren en Internet Information Services (IIS) op alle SharePoint-servers opnieuw op te starten. Dit kan handmatig via PowerShell met Set-SPMachineKey of via de Central Administration site (Monitoring -> Review job definition -> Machine Key Rotation Job -> Run Now).
4. Implementeer Microsoft Defender for Endpoint (of gelijkwaardig): Dit helpt bij het detecteren en blokkeren van post-exploitatieactiviteiten.
5. Overweeg tijdelijke loskoppeling van internet: Als AMSI niet kan worden ingeschakeld, overweeg dan om de server los te koppelen van internet totdat de meest recente beveiligingsupdates zijn toegepast. Als dit niet mogelijk is, beperk dan niet-geauthenticeerd verkeer via een VPN, proxy met authenticatie of een authenticatie-gateway.

Detectie en opsporing

Organisaties kunnen de aanwezigheid van de webshell en gerelateerde activiteiten opsporen met behulp van de volgende indicatoren en zoekopdrachten:

• Indicatoren van Compromis (IOCs): Bestandsnamen zoals spinstall0.aspx, debug_dev.js, en specifieke SHA-256 hashes en IP-adressen (zie het oorspronkelijke Microsoft blog voor de volledige lijst).
• Hunting Queries (bijv. in Microsoft Defender XDR of Microsoft Sentinel): Zoek naar de creatie van spinstall0.aspx, PowerShell-activiteit door w3wp.exe met spinstall in de commandoregel, en specifieke alerts van Microsoft Defender.

Proactieve beveiliging is geboden

De voortdurende activiteit van geavanceerde dreigingsactoren benadrukt de noodzaak voor proactieve beveiliging en het onmiddellijk toepassen van updates. De impact van deze kwetsbaarheden kan aanzienlijk zijn, variërend van gegevensdiefstal tot de installatie van ransomware. Door de aanbevolen maatregelen van Microsoft strikt te volgen, kunnen organisaties hun on-premises SharePoint-omgevingen effectief beschermen tegen deze aanhoudende dreiging.