Onze partner Eye Security heeft onlangs een grootschalige aanvalscampagne ontdekt waarbij een eerder gepatchte kwetsbaarheid in Microsoft SharePoint opnieuw massaal werd misbruikt. Aanvallers gebruikten een bestaande aanvalsketen om servers wereldwijd over te nemen en toegang te krijgen tot gevoelige gegevens. Dankzij de vroege detectie door het onderzoeksteam Eye Research konden organisaties wereldwijd tijdig worden gewaarschuwd en beschermingsmaatregelen nemen. In dit artikel lees je wat er precies aan de hand is, waarom dit ertoe doet, welke risico’s organisaties lopen en hoe Hands on ICT samen met Eye Security zorgt voor een veilige en gecontroleerde IT-omgeving.
Tussen 17 en 19 juli 2025 zag Eye Security’s onderzoeksteam een duidelijke toename van verdachte activiteiten op on-premises SharePoint servers. Aanvallers maakten gebruik van de zogenoemde ToolShell-keten om bestanden te uploaden en cryptografische sleutels te stelen. Met deze sleutels konden zij authenticatie omzeilen en langdurige toegang behouden, zelfs nadat patches waren geïnstalleerd.
Na de eerste meldingen voerde Eye Research een wereldwijde scan uit van ruim 8.000 publiek toegankelijke SharePoint servers. Daarbij werden tientallen gecompromitteerde systemen gevonden, wat duidt op een gecoördineerde aanvalscampagne.
Deze kwetsbaarheid geeft aanvallers de mogelijkheid om volledige controle over een SharePoint server te krijgen. Daarmee kunnen zij:
De aanval richt zich op on-premises SharePoint servers. Systemen die vaak minder snel worden geüpdatet of niet continu worden gemonitord. Dit maakt ze aantrekkelijk voor cybercriminelen. Het incident onderstreept opnieuw dat goed beheer én continue detectie onmisbaar zijn.
Om risico's te beperken adviseert Eye Security het volgende:
Bij Hands on ICT beheren wij de dagelijkse IT-omgeving van onze klanten: we zorgen voor stabiliteit, updates, configuratiebeheer en continuïteit. Onze rol is om het fundament stabiel en veilig in te richten.
Onze partner Eye Security vult dit aan met geavanceerde beveiliging via Managed XDR en een 24/7 Security Operations Center dat continu monitort, analyseert en ingrijpt bij dreigingen. Zij detecteren verdachte activiteiten, terwijl wij zorgen voor een robuuste en goed beheerde IT-infrastructuur.
Samen bieden we een krachtig totaalpakket: Hands on ICT beheert – Eye Security beschermt.
Voor technisch geïnteresseerde lezers: de aanval maakte gebruik van de volgende kwetsbaarheden binnen de ToolShell-keten:
Hoewel Microsoft deze kwetsbaarheden op 8 juli 2025 heeft gepatcht, bleken veel on-premises omgevingen nog kwetsbaar of onvoldoende geconfigureerd. Hierdoor konden aanvallers cryptografische sleutels exfiltreren, waarmee zij toegang konden behouden zelfs na installatie van de patch.
Eye Research was één van de eerste teams dat dit patroon wereldwijd herkende en heeft in samenwerking met CERT’s en partners maatregelen en aanbevelingen gedeeld.
Wil je zeker weten dat jouw organisatie klaar is voor dit soort geavanceerde dreigingen? Plan een gratis demo van Eye Security’s Managed XDR en ontdek hoe realtime detectie en 24/7 monitoring jouw organisatie beschermen tegen dit soort dreigingen. Liever eerst breder oriënteren? Bekijk dan onze YourSecurity-propositie en ontdek hoe wij je helpen met NIS2-compliance, vulnerability management, security awareness en meer.
