CISA fordert dringende Patches nach Ausnutzung von SharePoint-Schwachstellen durch chinesische Hacker

WASHINGTON / LONDON (IT BOLTWISE) – Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich zwei kritische Schwachstellen in Microsoft SharePoint identifiziert, die von chinesischen Hackergruppen aktiv ausgenutzt werden.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat am 22. Juli 2025 zwei Schwachstellen in Microsoft SharePoint, CVE-2025-49704 und CVE-2025-49706, in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Diese Entscheidung basiert auf Beweisen für aktive Ausnutzung durch Hackergruppen, die mit China in Verbindung stehen. Die betroffenen Schwachstellen ermöglichen es Angreifern, unbefugten Zugriff auf lokale SharePoint-Server zu erlangen, was die Dringlichkeit der Situation unterstreicht.

Die Schwachstellen, die unter dem Namen ToolShell zusammengefasst werden, umfassen eine Spoofing-Schwachstelle und eine Remote-Code-Ausführungsschwachstelle. Microsoft hat bekannt gegeben, dass chinesische Hackergruppen wie Linen Typhoon und Violet Typhoon diese Schwachstellen seit dem 7. Juli 2025 ausnutzen, um in lokale SharePoint-Server einzudringen. Diese Angriffe verdeutlichen die Notwendigkeit, dass Bundesbehörden die identifizierten Schwachstellen bis zum 23. Juli 2025 beheben müssen.

Microsoft hat in seinen eigenen Sicherheitsberichten bisher nur CVE-2025-53770 als in freier Wildbahn ausgenutzt aufgeführt. Diese Schwachstelle kombiniert eine Authentifizierungsumgehung und eine Remote-Code-Ausführung, was darauf hindeutet, dass CVE-2025-53771 nicht erforderlich ist, um die Exploit-Kette zu vervollständigen. Die Schwachstellen CVE-2025-53770 und CVE-2025-53771 werden als Patch-Umgehungen für CVE-2025-49704 und CVE-2025-49706 angesehen.

Die Akamai Security Intelligence Group hat erklärt, dass die Ursache von CVE-2025-53770 eine Kombination aus zwei Fehlern ist: einer Authentifizierungsumgehung (CVE-2025-49706) und einer unsicheren Deserialisierung (CVE-2025-49704). Diese Schwachstellen stellen ein erhebliches Risiko für Unternehmen dar, die SharePoint-Server in ihren Netzwerken betreiben.

Ein Sprecher von Microsoft betonte, dass die in den Sicherheitsberichten veröffentlichten Informationen zum Zeitpunkt der Veröffentlichung korrekt sind und dass das Unternehmen in der Regel keine Aktualisierungen nach der Veröffentlichung vornimmt. Microsoft unterstützt CISA auch bei der Aktualisierung des Katalogs der bekannten ausgenutzten Schwachstellen, um regelmäßig Informationen über ausgenutzte Schwachstellen bereitzustellen.

Die Entwicklung kommt zu einem Zeitpunkt, an dem watchTowr Labs eine Methode entwickelt hat, um CVE-2025-53770 so auszunutzen, dass die Antimalware Scan Interface (AMSI) umgangen wird, eine von Microsoft empfohlene Maßnahme zur Verhinderung nicht authentifizierter Angriffe. Benjamin Harris, CEO von watchTowr, äußerte Bedenken darüber, dass einige Organisationen sich darauf verlassen, AMSI zu aktivieren, anstatt die Schwachstellen zu patchen, was ein gefährlicher Ansatz sei.

Da die Ausnutzung mit staatlich geförderten Akteuren in Verbindung gebracht wird, wäre es naiv zu glauben, dass sie eine SharePoint-Zero-Day-Schwachstelle nutzen könnten, ohne AMSI zu umgehen. Organisationen müssen die Schwachstellen patchen. Alle öffentlichen Proof-of-Concepts werden AMSI auslösen und Organisationen in die Irre führen, indem sie glauben, dass die Maßnahmen umfassend sind und der Host nicht mehr verwundbar ist. Dies wäre ein Irrtum.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!