Beveiligingsrichtlijnen voor SharePoint - Bescherm uw on-premise servers tegen ransomware

Een recente zero-day-aanval door aan de Chinese staat gelieerde groeperingen benadrukt de noodzaak om uw on-premises Microsoft SharePoint-omgevingen te versterken. In tegenstelling tot het cloudgebaseerde SharePoint Online-softwareplatform, waar Microsoft continu cybersecurity van enterprise-niveau toepast, zijn on-premises SharePoint-servers afhankelijk van IT-managers voor het patchen, monitoren, onderhouden, upgraden en oplossen van problemen. Laten we de 'Typhoon'-aanval eens nader bekijken door de tijdlijn, de reactie van Microsoft en de stappen die organisaties moeten nemen om hun on-premises SharePoint-servers tegen dit soort bedreigingen te beschermen, te analyseren.

Zero-Day-aanval

In juli 2025 werd een grootschalige cyberaanval uitgevoerd op on-premise Microsoft SharePoint-installaties , waarbij gebruik werd gemaakt van twee zero-day-kwetsbaarheden. De daders, door de staat gesteunde groeperingen uit China, gebruikten de kwetsbaarheden om in te breken bij honderden organisaties wereldwijd. Eenmaal binnen namen ze de controle over SharePoint-servers over, installeerden ze webshells en stalen ze cryptografische sleutels om de toegang open te houden. In ten minste één geval escaleerde de situatie tot een ransomware-aanval. Microsoft kwam direct met noodpatches en gaf samen met CISA dringende waarschuwingen af ​​dat systemen zonder patches nog steeds een ernstig risico liepen.

Tijdlijn van de aanval

• Begin juli 2025: Verkenning en eerste aanvallen. Aan de Chinese staat gelieerde groepen begonnen te zoeken naar zwakke punten in SharePoint en probeerden zelfs eerdere kwetsbaarheden te misbruiken.
• 18-19 juli 2025: Nieuwe zero-day-vulnerabilities ontdekt. ​​Een golf van aanvallen bracht twee nieuwe zero-day-vulnerabilities in SharePoint aan het licht. Niet-geauthenticeerde aanvallers gebruikten deze om de controle over on-premise SharePoint-servers te verkrijgen, webshells te installeren en gegevens (waaronder SharePoint-machinesleutels) te stelen van talloze organisaties.
• 20 juli 2025: Noodwaarschuwingen uitgegeven. Gezien de ernst van de dreiging gaf CISA (het Amerikaanse agentschap voor cyberbeveiliging en infrastructuurbeveiliging) een ongebruikelijke weekendwaarschuwing uit. Ze markeerden de SharePoint-kwetsbaarheden in hun catalogus met bekende misbruikte kwetsbaarheden en drongen er bij systeembeheerders op aan snel actie te ondernemen voordat de situatie zou verergeren.
• 21 juli 2025: Microsoft brengt patches uit. De engineers van Microsoft hebben snel gehandeld om de nieuwe beveiligingslekken in SharePoint aan te pakken. Op maandag 21 juli waren er noodpatches beschikbaar voor alle ondersteunde versies: 2016, 2019 en de abonnementseditie. Organisaties werden dringend verzocht de updates onmiddellijk te installeren om te voorkomen dat ze door de beveiligingslekken getroffen zouden worden.
• 22 juli 2025: Update van de dreigingsinformatie. Microsoft Threat Intelligence publiceerde een gedetailleerd blogbericht over de aanhoudende aanvallen. Ze bevestigden dat meerdere aan China gelinkte actoren (Linen Typhoon, Violet Typhoon) en anderen actief onbeveiligde servers aanvielen. Eén groep (Storm-2603) gebruikte de exploits zelfs om Warlock-ransomware te installeren in de omgevingen van slachtoffers. Microsoft waarschuwde dat "dreigingsactoren deze exploits zullen blijven integreren in hun aanvallen op onbeveiligde on-premises SharePoint-systemen."

Geleerde lessen

De bovenstaande tijdlijn laat zien hoe snel de situatie zich ontwikkelde en hoe cruciaal een snelle reactie was. Deze SharePoint-lekken troffen tientallen organisaties binnen enkele dagen. Het feit dat zowel statelijke actoren als cybercriminele groepen de kwetsbaarheid aangrepen, benadrukt de brede, opportunistische dreiging. Organisaties die direct op 21 juli patches installeerden, schakelden de aanvalsvector effectief uit, terwijl organisaties die achterbleven risico liepen. In tegenstelling tot Microsofts cloudgebaseerde SharePoint Online, zijn on-premises SharePoint-servers afhankelijk van beheerders voor de beveiliging en updates. De aanvalsgolf van juli 2025 benadrukt dat best practices voor een goede beveiliging essentieel zijn om on-premises SharePoint te beschermen. Hieronder beschrijven we praktische stappen die IT-beheerders moeten nemen, gebaseerd op de richtlijnen van Microsoft tijdens het incident, om SharePoint-omgevingen te beveiligen tegen dergelijke aanvallen.

Aanbevelingen voor het beveiligen van on-premises SharePoint

Om on-premises SharePoint te beveiligen, moeten beheerders een veelzijdige aanpak hanteren die zich richt op softwarekwetsbaarheden, configuratiebeveiliging en actieve monitoring. Hieronder vindt u de belangrijkste stappen en best practices om uw SharePoint-omgeving te beschermen:

Houd SharePoint up-to-date (gebruik ondersteunde versies en installeer patches tijdig).

Om on-premise SharePoint-omgevingen veilig te houden, is het cruciaal om de meest recente ondersteunde versies te gebruiken, zoals 2016, 2019 of de abonnementseditie, en beveiligingspatches te installeren zodra ze beschikbaar komen. Microsoft heeft bevestigd dat de updates van juli 2025 de recente zero-day-kwetsbaarheden verhelpen, maar veel systemen werden alsnog getroffen omdat de patches niet snel genoeg werden toegepast. Oudere versies zoals SharePoint 2010 en 2013 hebben hun einde van de ondersteuning al lang achter de rug en hebben geen updates ontvangen, waardoor ze nog steeds kwetsbaar zijn voor aanvallen. Omdat hackers doorgaans snel ongepatchte servers aanvallen, is up-to-date blijven de beste verdediging. Als het vanwege interne processen niet mogelijk is om direct te patchen, kan het tijdelijk loskoppelen van de server van het internet het risico verkleinen. SharePoint Online werd niet getroffen, omdat Microsoft updates automatisch in de cloud afhandelt.

Officiële SharePoint-updatespagina: https://learn.microsoft.com/en-us/officeupdates/sharepoint-updates

AMSI en antivirus inschakelen op SharePoint-servers

Een van de eenvoudigste manieren om de beveiliging van uw SharePoint-server te versterken, is door AMSI (Antimalware Scan Interface) in te schakelen en ervoor te zorgen dat antivirusbescherming actief is. AMSI detecteert kwaadaardige scripts voordat ze schade kunnen aanrichten, terwijl antivirussoftware een extra beveiligingslaag biedt door te scannen op bekende bedreigingen. Het is een simpele stap die een aanzienlijk verschil kan maken, vooral omdat aanvallers constant op zoek zijn naar kwetsbaarheden in systemen die niet gepatcht of slecht beveiligd zijn. Als u SharePoint on-premises gebruikt, zou dit onderdeel moeten zijn van uw basisbeveiligingschecklist.

Lees meer over AMSI op https://www.microsoft.com/en-us/security/blog/2025/04/09/stopping-attacks-against-on-premises-exchange-server-and-sharepoint-server-with-amsi/

Gebruik EDR-oplossingen en monitor op inbraken.

Zelfs met antivirussoftware is het essentieel om SharePoint-servers te monitoren op mogelijke inbreuken. Microsoft raadt aan om Endpoint Detection and Response (EDR)-tools zoals Defender for Endpoint te gebruiken om activiteiten na een aanval te detecteren die antivirussoftware mogelijk over het hoofd ziet, zoals privilege-escalatie, persistentiemechanismen of het uploaden van webshells zoals spinstall0.aspx. Beheerders moeten regelmatig logboeken en bestandssystemen controleren op afwijkingen, waaronder onverwachte bestanden of ongebruikelijk accountgedrag. Effectieve monitoring maakt vroege detectie en beheersing mogelijk, waardoor aanvallers niet kunnen overgaan tot datadiefstal of ransomware.

Meer informatie over EDR vindt u hier: https://www.microsoft.com/en-us/security/business/security-101/what-is-edr-endpoint-detection-response

Draai de machinesleutels

Na het patchen van systemen en het verwijderen van malware, moeten organisaties alle gestolen inloggegevens ongeldig maken, met name de ASP.NET MachineKeys die SharePoint gebruikt voor authenticatie en versleuteling. Zelfs nadat de beveiligingslekken zijn gedicht, kunnen aanvallers die machinekeys in handen hebben gekregen, nog steeds binnendringen door tokens te vervalsen. Daarom heeft Microsoft iedereen aangeraden om deze sleutels te vernieuwen, via PowerShell of Centraal Beheer, en vervolgens een IIS-reset uit te voeren op alle servers. Het klinkt misschien als een gedoe, maar het is een cruciale stap om eventuele achterdeuren te sluiten en ervoor te zorgen dat gestolen sleutels niet opnieuw kunnen worden gebruikt.

Controleer bij het nakijken van de sleutels ook de beheerdersaccounts en -gegevens:

• Als er tijdens het incident mogelijk SharePoint-beheerderswachtwoorden of serviceaccountgegevens zijn gecompromitteerd, wijzig deze dan.
• Zorg ervoor dat serviceaccounts het principe van minimale bevoegdheden volgen.
• Overweeg, indien mogelijk, om multifactorauthenticatie in te schakelen voor toegang op afstand tot het beheerderspaneel.

Beveiliging van de toegang na de patch

Maak ten slotte van de gelegenheid gebruik om andere beveiligingsmaatregelen in uw SharePoint-omgeving te implementeren. Zorg er bijvoorbeeld voor dat er regelmatig back-ups van SharePoint-content en -configuraties worden gemaakt (en offline worden opgeslagen), zodat u deze kunt herstellen in geval van destructieve acties zoals ransomware. Evalueer ook de netwerksegmentatie (kan uw SharePoint-server vrij communiceren met domeincontrollers of het internet, of zijn er beperkingen?), want het beperken van een inbreuk tot één server kan voorkomen dat het hele netwerk wordt getroffen.

Conclusie

SharePoint on-premises beheren biedt controle, maar legt de volledige verantwoordelijkheid voor de beveiliging bij de organisatie. De zero-day-kwetsbaarheden van juli 2025 lieten zien hoe snel aanvallers onbeveiligde systemen kunnen misbruiken, met ernstige gevolgen zoals datadiefstal en ransomware. Om zich tegen dergelijke bedreigingen te beschermen, moeten IT-teams de beste werkwijzen volgen: systemen up-to-date houden, AMSI- en antivirusbescherming inschakelen, activiteiten nauwlettend in de gaten houden en sleutels en inloggegevens beveiligen. Deze stappen, die worden onderschreven door de beveiligingsteams van Microsoft, hebben recente aanvallen effectief afgeweerd.

Uiteindelijk is proactieve en waakzame beveiliging essentieel. Kwaadwillenden scannen SharePoint-omgevingen op zwakke punten, en er zullen er meer volgen. Hoewel on-premises SharePoint beveiligd kan worden, vereist dit tijdige actie en gelaagde verdedigingsmechanismen. Investeren in deze maatregelen is cruciaal voor de bescherming van samenwerkingsplatformen en gevoelige gegevens, omdat, zoals dit incident heeft aangetoond, de kosten van zelfgenoegzaamheid veel hoger kunnen uitvallen.

Samenvattend is het beveiligen van SharePoint een continu proces:

• Zorg ervoor dat het platform up-to-date en ondersteund blijft.
• Configureer de ingebouwde beveiligingsfuncties (zoals AMSI en toegangscontrole) optimaal.
• Voeg extra beveiligingslagen toe, zoals endpointbeveiliging, netwerksegmentatie en strikte monitoring.
• Wees paraat om op elk moment op bedreigingen te reageren.

Door deze best practices te volgen, vergroot u de kans dat uw SharePoint-sites veilig en online blijven. De recente zero-day-aanvallen hebben aangetoond hoe kostbaar het kan zijn om de zaken te laten versloffen. Een solide, proactieve verdediging is echt uw beste optie. Blijf dus alert, houd uw systemen up-to-date en geef aanvallers geen gemakkelijke toegang.

Referenties