Het probleem in SharePoint, waardoor hackers ruim honderd organisaties konden binnendringen, was al langer bekend bij Microsoft, maar een eerste oplossing kon het probleem niet verhelpen.
De kwetsbaarheden in SharePoint werd in mei voor het eerst geïdentificeerd tijdens een hackingwedstrijd van Trend Micro in Berlijn. Daar kon een onderzoeker van de cybersecurity tak van Viettel, een telecomoperator in handen van het leger van Vietnam, een bug identificeren die toen de naam ToolShell meekreeg. De onderzoeker won er toen 100.000 dollar mee.
Microsoft bevestigt die tijdlijn aan Reuters en zegt dat een eerste oplossing voor de problemen niet werkte. Intussen zijn er nieuwe patches verschenen om de kwetsbaarheden te verhelpen.
Drie Chinese hackersgroepen
Intussen noemt het softwarebedrijf twee Chinese hackersgroepen, ‘Linen Typhoon’ en ‘Violet Typhoon’ als de partijen die de kwetsbaarheid actief hebben misbruikt. Er zou ook een derde Chinese groep dat doen.
Afgelopen zaterdag kwam Microsoft met beveiligingsupdates voor CVE-2025-53770 en CVE-2025-53771, de twee problemen in SharePoint Server 2019 en SharePoint Server Subscription Edition. Voor SharePoint Server 2016 wordt nog gewerkt aan een oplossing. Cloudversies (via Microsoft 365) zijn niet getroffen.
Bij de bekendmaking waarschuwde Microsoft dat de kwetsbaarheden al actief werden misbruikt. In de dagen nadien werd duidelijk dat duizenden organisaties gevaar lopen en zeker honderd afgelopen weekend doelwit waren van hackers.