'Tientallen Nederlandse SharePoint-servers bevatten actief misbruikt lek'

In dit artikel:

Tientallen SharePoint-servers met Nederlandse ip-adressen zijn kwetsbaar voor een ernstig lek (CVE-2026-20963) dat aanvallers in staat stelt willekeurige code op afstand uit te voeren, meldt de Shadowserver Foundation op basis van een recente internetscan. Van de ruim 1.100 kwetsbare ip-adressen die de stichting vond, bevinden 35 zich in Nederland; het merendeel staat in de Verenigde Staten.

Microsoft bracht op 13 januari een patch uit voor het probleem. Op 18 maart waarschuwde het Amerikaanse CISA dat er al actief misbruik van de kwetsbaarheid plaatsvindt; tegelijkertijd kregen Amerikaanse overheidsinstanties het bevel de patch binnen drie dagen te installeren. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) waarschuwt dat vooral publiek toegankelijke SharePoint-installaties een verhoogd risico lopen en dat de kans groot is dat, nu er aandacht in de media is, proof-of-concept-code snel publiekelijk verschijnt waardoor grootschalig misbruik kan volgen.

SharePoint wordt veel gebruikt voor websites, bestandsopslag en samenwerking binnen organisaties; een RCE-kwetsbaarheid kan leiden tot datadiefstal, verstoring of verder misbruik (bijv. ransomware). Beheerders wordt dringend aangeraden de Microsoft-update te installeren, publieke toegang waar mogelijk te beperken en de systemen te monitoren op verdachte activiteiten.