Microsoft stopt SharePoint-onderhoud door Chinese teams na hacks met staatssteun

In dit artikel:

Microsoft haalt onderhoud en ondersteuning van bepaalde serverproducten voor Amerikaanse overheidsklanten weg uit China, nadat in juli ernstige aanvallen plaatsvonden op lokaal (on‑premises) draaiende SharePoint-servers. Die aanvallen — onderdeel van de zogenoemde ToolShell-campagne — misbruikten meerdere kwetsbaarheden in SharePoint (onder meer CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 en CVE-2025-53771) waarmee aanvallers op afstand code konden uitvoeren. Bij diverse organisaties, waaronder bedrijven en overheidsinstanties, leidden de inbraken tot datadiefstal en inzet van ransomware.

Microsofts eigen threatintelligenceteam wijst meerdere in China gevestigde hackersgroepen aan als daders, waaronder de naar verluidt door de staat gesteunde Linen Typhoon en Violet Typhoon en de groep Storm‑2603. Beveiligingsonderzoekers signaleren bovendien dat de aanvallers een manier hadden om de patches te omzeilen; dat voedt vermoedens dat informatie over kwetsbaarheden of fixes voortijdig is gelekt. In het verleden kwam Microsofts programma dat partners vroegtijdig voorziet van patchinformatie (MAPP) al in verband met lekken.

Kort daarvoor meldde onderzoeksplatform ProPublica dat Microsoft technisch support voor onderdelen van het Amerikaanse ministerie van Defensie door engineers in China liet uitvoeren, met zogenoemde ‘digital escorts’ uit de VS die toezicht zouden houden. ProPublica stelde later vast dat een vergelijkbare opzet ook geldt voor delen van de ministeries van Justitie, Financiën en Economische Zaken; interne screenshots tonen dat Chinees personeel recentelijk aan SharePoint‑bugs heeft gewerkt. Dat is gevoelig omdat de succesvolle juli‑aanvallen juist gericht waren op de on‑premisesversie van SharePoint.

Als reactie stelt Microsoft dat Amerikaanse medewerkers toezicht houden en dat ondersteuning volgens normale beveiligings- en codecontroles verloopt. Het bedrijf zegt bovendien bezig te zijn met het verplaatsen van het in China uitgevoerde ondersteuningswerk, maar geeft niet aan naar welke landen of hoe langdurig die controle op afstand gegarandeerd blijft. Ook wil Microsoft niet openbaarmaken welke andere producten door buitenlandse teams worden onderhouden.

De zaak roept bredere vragen op over transparantie en risico’s van uitbesteding van kritisch onderhoud: enerzijds toont het het veiligheidsrisico van buitenlandse toegang tot on‑premisessoftware; anderzijds benadrukt het de gevoeligheid van het delen van informatie over patches met partners. Microsoft zegt samen te werken met nationale veiligheidsinstanties om protocollen aan te scherpen en legt het accent op het blijven leveren van zo veilig mogelijke diensten aan de Amerikaanse overheid, maar concrete details over de nieuwe opzet en toezicht ontbreken nog.