Lek vermoedelijke oorzaak Microsoft SharePoint aanvallen
Een lek in informatievoorziening zou de oorzaak kunnen zijn van de recente grootschalige aanvallen op Microsoft SharePoint-servers, waarbij Chinese staatsgesponsorde groepen en ransomware-operatoren kwetsbaarheden misbruikten. Dit stelt Dustin Childs, hoofd van de Zero Day Initiative (ZDI) van Trend Micro.
Vorige week meldde Microsoft dat de juli-software-updates twee kritieke bugs niet volledig hadden verholpen, waardoor aanvallers code konden uitvoeren op on-premises SharePoint-servers. De vraag is hoe aanvallers zo snel wisten hoe ze de kwetsbaarheden konden omzeilen.
Volgens Childs vond er een 'lek' plaats zo zegt hij tegen The Register. De kwetsbaarheden kwamen aan het licht tijdens de Pwn2Own-competitie in mei, waar een Vietnamese onderzoeker een werkende exploit demonstreerde. Microsoft ontving hiervan een volledige beschrijving. Op 7 juli, één dag voordat Microsoft patches uitbracht voor de CVE's (CVE-2025-49704 en CVE-2025-49706), begonnen de massale aanvallen al.
Microsoft Active Protections Program (MAPP)
Childs suggereert dat de informatie mogelijk is gelekt via het Microsoft Active Protections Program (MAPP). Dit programma geeft geselecteerde beveiligingsleveranciers, onder geheimhoudingsverklaring, twee weken voor de officiële patch-release toegang tot kwetsbaarheidsinformatie. Iedereen die de vroege MAPP-informatie over de CVE's en software-updates ontving, zou hebben kunnen zien dat dit een gemakkelijke manier is om de patch te omzeilen, aldus Childs.
Microsoft heeft inmiddels aanvullende updates uitgebracht, maar weigerde commentaar te geven op de specifieke vragen over een mogelijk lek. Een woordvoerder verklaarde enhel dat als standaardproces het incident wordt geevalueerd en naar verbeterpunten wordt gekeken.
Meer over Software
Over Witold Kepinski
