Tientallen Microsoft SharePoint-servers met een Nederlands ip-adres bevatten een kwetsbaarheid waarvan actief misbruikt wordt gemaakt, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. Het Nationaal Cyber Security Centrum (NCSC) houdt rekening met grootschalig misbruik.
Via het beveiligingslek, aangeduid als CVE-2026-20963, is remote code execution (RCE) mogelijk. Microsoft kwam op 13 januari van dit jaar met een beveiligingsupdate. Op 18 maart meldde het Amerikaanse cyberagentschap CISA dat aanvallers actief misbruik van het probleem maken. Details over deze aanvallen zijn niet gegeven.
The Shadowserver Foundation is een stichting die zich bezighoudt met onderzoek naar kwetsbare systemen op internet. Het deed onlangs een online scan naar SharePoint-servers die kwetsbaar zijn voor CVE-2026-20963. Dit leverde meer dan elfhonderd ip-adressen op, waarvan 35 in Nederland. Het grootste deel van de kwetsbaree servers bevindt zich in de VS. Vanwege de ernst van het beveiligingslek kregen Amerikaanse overheidsinstanties op 18 maart het bevel om de patch binnen drie dagen te installeren, mocht dat nog niet zijn gedaan. Microsoft SharePoint wordt onder andere gebruikt voor het maken van websites, delen van informatie, opslag van bestanden en laat medewerkers van organisaties samenwerken aan documenten.
"De kwetsbaarheid stelt een kwaadwillende in staat om willekeurige code uit te voeren op een kwetsbaar Sharepoint systeem. Met name publiek toegankelijke installaties lopen verhoogd risico op misbruik", aldus het NCSC. "Buiten meldingen van actief misbruik is (nog) geen publieke Proof-of-Concept-code of exploit bekend. Door de media-aandacht echter, verwacht het NCSC dat deze wellicht op korte termijn beschikbaar komt, waardoor het risico op grootschalig misbruik zal toenemen."
