De ernstige SharePoint-kwetsbaarheid “ToolShell” blijft beheerders en beveiligingsexperts bezighouden. Microsoft heeft de eerste patches vrijgegeven voor bepaalde on-premises versies van het samenwerkingsplatform. Beheerders moeten echter aanvullende maatregelen nemen om eventuele achterdeuren te verwijderen.
Blijf op de hoogte van ontwikkelingen in digitale weerbaarheid
Schrijf je in voor onze gratis nieuwsbrief:
Beschikbare updates
Microsoft heeft updates beschikbaar gesteld voor de getroffen versies SharePoint Server 2019 en SharePoint Server Subscription Edition. De gecorrigeerde versies — SharePoint Server 2019 (versie 16.0.10417.20027, KB5002754) en Subscription Edition (KB5002768) — zijn te vinden op de ondersteuningspagina’s van Microsoft. SharePoint 2016 blijft voorlopig zonder update.
Machine Keys moeten handmatig geroteerd worden
Microsoft benadrukt dat na het toepassen van de updates in alle gevallen de ASP.Net “Machine Keys” geroteerd moeten worden, wat een herstart van IIS vereist. De benodigde PowerShell-cmdlets hiervoor zijn beschikbaar op de ondersteuningspagina’s met betrekking tot ToolShell. Microsoft’s cloudaanbiedingen zijn niet getroffen; alleen on-premises installaties zijn kwetsbaar. Beheerders van deze installaties wordt dringend aangeraden onmiddellijk actie te ondernemen.
CISA en securitybedrijven slaan alarm
Ook de Amerikaanse cybersecurity-instantie CISA waarschuwt in haar “Known Exploited Vulnerabilities Database” voor de kwetsbaarheid en heeft een artikel gepubliceerd, grotendeels gebaseerd op de adviezen van Microsoft. De richtlijnen van CISA zijn bindend voor Amerikaanse overheidsinstanties. Beveiligingsbedrijf Eye Security heeft in een blog een uitgebreide analyse met tijdlijn gepresenteerd. Volgens hen begon het actieve uitbuiten van de kwetsbaarheid in de nacht van 18 op 19 juli, waarbij tientallen systemen slachtoffer zijn geworden.
Aanval via HTTP-verzoek mogelijk
De kwetsbaarheid met CVE-ID CVE-2025-53770 is een variant van de tijdens Pwn2Own Berlin gebruikte lekken CVE-2025-49706 en CVE-2025-49704. Het maakt mogelijk om via een enkele HTTP-aanvraag op afstand controle over een SharePoint-server te verkrijgen. Zoals het Duitse beveiligingsbedrijf Code White GmbH op X demonstreert, is het voldoende om op de juiste plaats een systeemcommando in te voegen. De tot dusver onbekende aanvallers konden hiermee servers overnemen en de “Machine Keys” buitmaken, wat hen in staat stelt blijvende toegang tot de SharePoint-servers te behouden.
Blijf op de hoogte van ontwikkelingen in digitale weerbaarheid
Schrijf je in voor onze gratis nieuwsbrief:
