SharePoint-kwetsbaarheid CVE-2025-53770

Meer dan 50 organisaties wereldwijd – inclusief overheidsinstanties – zijn slachtoffer geworden van een kritieke zero-day kwetsbaarheid in SharePoint (CVE-2025-53770), en dit aantal stijgt nog steeds.
De kwetsbaarheid, met een CVSS-score van 9,8, is gebaseerd op onveilige deserialisatie van ViewState-gegevens, waardoor ongeautoriseerde aanvallen op on-premises SharePoint-omgevingen mogelijk zijn.

ALTA-ICT begrijpt hoe cruciaal veilig samenwerken is voor Nederlandse organisaties. Daarom delen we heldere inzichten, inclusief hoe je specifiek binnen Nederland snel en effectief kunt handelen met meetbare ROI en ISO-gecertificeerde zekerheid.

MKB-wachtwoorden: Veilig of gevaarlijk?

Wat is CVE-2025-53770?

CVE-2025-53770 is een Remote Code Execution (RCE) kwetsbaarheid, die misbruik maakt van onveilige deserialisatie van onbeveiligde data binnen on-premises SharePoint-omgevingen.
Deze vorm van exploit, ook wel bekend als “ToolShell”, combineert oude patches met nieuwe aanvalspaden en omzeilt daardoor eerdere beveiligingen.
In aanvallen zijn webshells zoals spinstall0.aspx geïnstalleerd, machine-sleutels gestolen en persistentie verkregen, soms zelfs ransomware zoals “Warlock” ingezet.
Hoewel SharePoint Online binnen Microsoft 365 niet kwetsbaar is, kregen on-premises systemen wereldwijd zware klappen – denk aan honderden servers, waaronder bij overheidsinstellingen.

Implementatiestappen: wat moet je (in NL) doen?

Stap 1: Patch onmiddellijk – Microsoft heeft noodupdates uitgebracht:

SharePoint Subscription Edition – KB5002768
SharePoint 2019 – KB5002754
SharePoint 2016 – KB5002760

Stap 2: Draai MachineKey-rotatie – Verwijder gestolen cryptografische sleutels en forceer een nieuwe key-instantie. Herstart IIS via iisreset.exe.

Stap 3: Verlichting en detectie –

Schakel AMSI (Antimalware Scan Interface) in.
Gebruik Defender en andere EDR/MDR-oplossingen om post-exploit activiteit te detecteren.
Zoek naar webshells (spinstall0.aspx), ongebruikelijke ViewState payloads en gestolen machine keys.

Stap 4: Segmenteer netwerk en isoleer systemen – Ontkoppel on-prem systemen tijdelijk van internet/public exposure. Overweeg ZTNA, business VPN en applicatie-segmentatie.

Stap 5: Incident response en threat hunting – Roep gespecialiseerde IR-teams in, monitor logs en identificeer indicatoren van compromittering (IoC’s). Overweeg SIEM of Managed Detection binnen SOC-diensten.

Stap 6: Overweeg migratie naar SharePoint Online – Vooral voor organisaties in zorg, overheid of fintech kan migratie helpen risico’s te beperken. SharePoint Online is niet gevoelig voor deze aanvalsvector.

Uitdagingen in Nederland

Nederlandse MKB, ziekenhuizen (AVG/NEN7510) en publieke instellingen (NORA, DNB) lopen verhoogd risico door verouderde SharePoint infrastructuur.
Compliance met AVG, NEN7510 en BIO maakt snelle patching, logging én heldere eindgebruikerscommunicatie essentieel. Beschikbare IT-resources zijn beperkt, waardoor incident response en patch management vertraging kunnen oplopen.
ALTA-ICT biedt hier ISO-gecertificeerde ondersteuning:

ISO 27001 + NEN 7510 rigoureuze patch- & security-management.
Meetbare uptime & herstel van 99,9 %.
Aansluiting bij Nederlandse sectorale compliance (Zorg, Finance, Overheid).
Duidelijke korte- en langetermijn roadmap met juridische borging & rapportage.

ROI van een proactieve aanpak

Kostenbesparing: Snel patchen voorkomt kostbare incident response.
Risicominimalisatie: Beperking van exposure, verlies van data, reputatieschade en compliance-fouten.
Strategisch voordeel: Samenwerking met ALTA-ICT levert meetbaar voordeel (uptime, SLA’s, rapportage) en versterkt vertrouwen bij bestuur en IT management.
Vooruitzicht: Door te migreren naar moderne cloudarchitectuur met hybride of SharePoint Online op termijn, reduceer je complexe patch-rietsystemen en verhoog je schaalbaarheid.

ALTA-ICT aanpak

Certificeringen & expertise:

ISO 27001 & NEN 7510 compliance.
Ervaring met AVG, NORA & DigiD integratie.
Incident handling en SOC-diensten 24/7.
Cloud- en hybride migratie ervaring (o.a. Microsoft-365).

Unieke differentiator:

Nederlands-gerichte aanpak: begrijpelijke audits & rapportages, in het Nederlands.
Maatwerk voor MKB, financiële instellingen en zorginstellingen.
Geen commerciële verkooppraat – alleen helder advies.
Directe inzetbaarheid en korte doorlooptijden voor patch-rollen en assessments.

FAQ

Wat als we SharePoint 2016 gebruiken?
Patch KB5002760 is beschikbaar; bij vertraging: systeem tijdelijk isoleren en IR-team inzetten.

Is SharePoint Online veilig?
Ja, SharePoint Online is niet getroffen door deze zero-day.

Waarom nieuwe CVE’s nodig?
Doordat de eerste patch onvoldoende was; CVE-2025-53770/53771 bevatten sterkere fixes.

Hoe lang duurt patch-deployment?
Binnen uren bij ALTA-ICT, inclusief testing & sleutelrotatie.

Helpen jullie ook bij GDPR en compliance?
Zeker! We verbinden techniek met governance en documentatie.

Conclusie

De “ToolShell” zero-day CVE-2025-53770 vormt direct gevaar voor on-prem SharePoint-omgevingen, met wereldwijde ransomware-dreiging én gecompromitteerde overheidsstructuren als gevolg. Alleen acute patching, sleutelrotatie en threat detection bieden onmiddellijke bescherming.
Wil je direct vrijblijvend sparren over jouw situatie? Bij ALTA-ICT krijg je geen verkooppraat, maar helder inzicht en een concreet actieplan op maat. Plan direct een meeting via onze kennis-link.

Referentie

¹https://www.linkedin.com/posts/altaict_mkb-microsoft365-nis2-activity-7352970320447709184-sgHv

²https://www.techradar.com/pro/sharepoint-ageddon-attacks-riddled-with-free-warlock-ransomware-and-thousands-of-services-could-be-compromised

³https://www.windowscentral.com/software-apps/were-witnessing-an-urgent-and-active-threat-microsoft-sharepoint-toolshell-vulnerability-is-being-attacked-globally

⁴https://www.windowscentral.com/microsoft/us-agency-overseeing-nuclear-weapons-breached-in-microsoft-sharepoint-attack

Meer weten?

Neem contact op

img[data-role="placeholder-img"] { display: none; }