For English, see below.
Beschrijving
Microsoft heeft updates uitgebracht om twee actief misbruikte kwetsbaarheden in on-premises installaties van Microsoft SharePoint te verhelpen. De meest ernstige kwetsbaarheid (CVE-2025-53770) stelt een kwaadwillende in staat om op afstand – en zonder authenticatie – willekeurige code uit te voeren op een kwetsbare server. Aanvallers maken vermoedelijk sinds 18 juli misbruik van deze kwetsbaarheden om SharePoint-servers te infecteren met webshells. Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen en raadt aan deze z.s.m. te installeren en de ASP.NET-machinesleutels van SharePoint-servers te vernieuwen.
Kwetsbare versies
De kwetsbaarheden bevinden zich in de volgende on-premises versies van SharePoint:
- Microsoft SharePoint Server Subscription Edition (SE)
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Enterprise Server 2016
SharePoint Online tenants zijn niet kwetsbaar.
Oplossingen en tijdelijke mitigaties
Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Organisaties wordt aangeraden deze updates z.s.m. te installeren.
Daarnaast raadt Microsoft aan om een aantal aanvullende maatregelen te treffen om misbruik van deze – en eventuele toekomstige – kwetsbaarheden te voorkomen en aanvallers buiten te sluiten:
- Activeer de Antimalware Scan Interface (AMSI) integratie in SharePoint en maak daarbij gebruik van de “Full Mode”-configuratie. In combinatie met Microsoft Defender zal dit uitbuiting van deze kwetsbaarheid helpen voorkomen. AMSI-integratie is standaard ingeschakeld wanneer recente security updates op de SharePoint-server zijn geïnstalleerd (respectievelijk de “September 2023”-updates voor SharePoint Server 2016/2019 en de “23H2 feature update” voor SharePoint SE).
- Maak gebruik van Microsoft Defender of een vergelijkbare EDR-oplossing om misbruik van kwetsbaarheden te detecteren en te blokkeren.
- Vernieuw de ASP.NET machinesleutels na het installeren van de updates en herstart IIS op alle SharePoint-servers. Deze stap is essentieel om ervoor te zorgen dat aanvallers worden buitengesloten van servers waartoe zij zich in eerder stadium toegang hebben weten te verschaffen.
Detectie van mogelijk misbruik
Er bestaan een aantal manieren waarop misbruik van de kwetsbaarheden kan worden vastgesteld.
- Aanwezigheid van het bestand spinstall0.aspx
Aanvallers plaatsen tijdens de bekende misbruikcampagnes het malafide bestand spinstall0.aspx op kwetsbare servers. Aanwezigheid hiervan op een SharePoint-server is dan ook een sterke indicatie voor compromittatie. Microsoft heeft KQL-queries beschikbaar gesteld waarmee het mogelijk is te zoeken op de aanwezigheid (en installatie) van dit bestand op SharePoint-servers (waarop Defender is geïnstalleerd).
- Aanvalspogingen vanaf specifieke IP-adressen
Het is bekend dat de aanvallers vanaf een beperkte set aan IP-adressen aanvallen hebben uitgevoerd op SharePoint-servers. Het gaat om de onderstaande IP-adressen die door diverse beveiligingsonderzoekers (Eye Security en Palo Alto) zijn gepubliceerd:
- 96.9.125[.]147
- 103.186.30[.]186
- 104.238.159[.]149
- 107.191.58[.]76
Activiteit vanaf deze IP-adressen richting kwetsbare (internet exposed) SharePoint-servers is een indicatie van mogelijk misbruik.
- Processen geïnitieerd w3wp.exe
Misbruik kan worden gedetecteerd doordat het IIS-proces (w3wp.exe) onverwacht nieuwe subprocessen start. Normaalgesproken voert w3wp.exe alleen webapplicatie-gerelateerde taken uit en start het geen aparte programma’s. Wanneer w3wp.exe echter “child”-processen aanmaakt, kan dit wijzen op succesvol misbruik van de kwetsbaarheden.
Meer informatie
Vragen
Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.
===== ENGLISH =====
Description
Microsoft has released updates to address two actively exploited vulnerabilities in on-premises installations of Microsoft SharePoint. The most severe vulnerability (CVE-2025-53770) allows a malicious actor to remotely execute arbitrary code on a vulnerable server without authentication. Attackers have reportedly been exploiting these vulnerabilities since July 18 to infect SharePoint servers with web shells. Microsoft has released updates to remediate the vulnerabilities and recommends installing them as soon as possible, as well as renewing the ASP.NET machine keys on SharePoint servers.
Vulnerable versions
The vulnerabilities affect the following on-premises versions of SharePoint:
- Microsoft SharePoint Server Subscription Edition (SE)
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Enterprise Server 2016
SharePoint Online tenants are not affected.
Solutions and workarounds
Microsoft has released updates to fix these vulnerabilities. Organizations are advised to install these updates as soon as possible.
Additionally, Microsoft recommends implementing several additional measures to prevent exploitation of these and future vulnerabilities and to lock attackers out:
- Enable Antimalware Scan Interface (AMSI) integration in SharePoint using the “Full Mode” configuration. In combination with Microsoft Defender, this will help prevent exploitation of this vulnerability. AMSI integration is enabled by default when recent security updates are installed on the SharePoint server (specifically, the September 2023 updates for SharePoint Server 2016/2019 and the 23H2 feature update for SharePoint SE).
- Use Microsoft Defender or a similar EDR solution to detect and block exploitation of vulnerabilities.
- Rotate the ASP.NET machine keys after installing the updates and restart IIS on all SharePoint servers. This step is essential to ensure that attackers are locked out of servers they may have previously compromised.
Detection of possible misuse
There are several ways to detect exploitation of these vulnerabilities.
- Presence of the file spinstall0.aspx
During known exploitation campaigns, attackers place the malicious file spinstall0.aspx on vulnerable servers. The presence of this file on a SharePoint server is a strong indication of compromise. Microsoft has published KQL queries that can be used to search for the presence (and installation) of this file on SharePoint servers with Defender installed.
- Attack attempts from specific IP addresses
It is known that attackers have launched attacks from a limited set of IP addresses targeting SharePoint servers. The following IP addresses have been published by various security researchers (Eye Security and Palo Alto):
- 96.9.125[.]147
- 103.186.30[.]186
- 104.238.159[.]149
- 107.191.58[.]76
Activity from these IP addresses targeting vulnerable (internet-exposed) SharePoint servers is an indication of possible exploitation.
- Processes initiated by w3wp.exe
Exploitation can be detected if the IIS process (w3wp.exe) unexpectedly spawns new subprocesses. Normally, w3wp.exe only performs web application-related tasks and does not launch separate programs. However, if w3wp.exe creates “child” processes, this may indicate successful exploitation of the vulnerabilities.
More information
Questions
For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl. |
