Pada 19 Juli 2025, Pusat Respons Keamanan Microsoft (MSRC) mengeluarkan peringatan mengenai serangan aktif yang menargetkan server SharePoint lokal. Serangan ini mengeksploitasi dua kerentanan (CVE-2025-49706 dan CVE-2025-49704) yang tidak memengaruhi SharePoint Online. Pembaruan keamanan untuk memitigasi kerentanan ini telah dirilis untuk versi SharePoint Server, dan pelanggan harus segera menerapkannya.

Pembaruan keamanan ini juga mengatasi kerentanan tambahan yang terkait dengan kerentanan pertama (CVE-2025-53770 dan CVE-2025-53771). Microsoft telah mengamati bahwa aktor ancaman berbasis pemerintah Tiongkok, Linen Typhoon dan Violet Typhoon, serta aktor lain yang berbasis di Tiongkok, Storm-2603, mengeksploitasi kerentanan ini. Perusahaan terus menyelidiki aktor ancaman potensial lainnya dan memperingatkan kemungkinan serangan lanjutan pada sistem yang belum ditambal.

Microsoft menyarankan agar pelanggan menggunakan versi SharePoint Server yang didukung dengan pembaruan keamanan terbaru dan mengaktifkan Antimalware Scan Interface (AMSI) serta Microsoft Defender Antivirus untuk perlindungan tambahan. Mereka juga menyarankan untuk merotasi kunci mesin ASP.NET, memulai ulang Layanan Informasi Internet (IIS), dan menerapkan solusi seperti Microsoft Defender for Endpoint.

Microsoft menyediakan panduan terperinci untuk memitigasi ancaman ini, termasuk menerapkan pembaruan keamanan, mengaktifkan AMSI, dan memanfaatkan Microsoft Defender for Endpoint. Mereka juga menerbitkan indicators of compromise (IOCs) dan kueri perburuan untuk membantu mengidentifikasi dan mengatasi potensi kompromi. Microsoft menekankan pentingnya respons cepat untuk melindungi dari kerentanan ini dan mencegah pelaku kejahatan mengeksploitasinya.