Kritische Sicherheitslücke in Microsoft SharePoint: Angriffe durch Hackergruppen

LONDON (IT BOLTWISE) – Eine kritische Sicherheitslücke in Microsoft SharePoint-Servern hat sich seit Juli 2025 zu einem beliebten Angriffsziel für Hackergruppen entwickelt. Diese Schwachstelle, bekannt als ‘ToolShell’, wird von einer Vielzahl von Bedrohungsakteuren ausgenutzt, von opportunistischen Hackern bis hin zu hochentwickelten staatlich gesponserten Gruppen.

Die Sicherheitslücke, die Microsoft am 19. Juli 2025 bestätigte, umfasst die Schwachstellen CVE-2025-53770 und CVE-2025-53771. Ersteres ist eine Remote-Code-Ausführungsschwachstelle mit einem CVSS-Score von 9,8, während letzteres eine Server-Spoofing-Schwachstelle darstellt. Diese Schwachstellen betreffen speziell On-Premises Microsoft SharePoint-Server, während SharePoint Online in Microsoft 365 nicht betroffen ist.

Besonders gefährlich ist die Möglichkeit, dass Angreifer die Multi-Faktor-Authentifizierung und den Single Sign-On-Schutz umgehen können, was ihnen unautorisierten Zugriff auf SharePoint-Systeme und die Ausführung beliebigen Codes über das Netzwerk ermöglicht. Aufgrund der Integration von SharePoint mit anderen Microsoft-Diensten wie Office, Teams, OneDrive und Outlook könnten Angreifer potenziell umfassenden Zugriff auf kompromittierte Netzwerke erhalten.

Seit Beginn der Ausnutzung am 17. Juli 2025 haben Sicherheitsforscher eine bemerkenswerte Vielfalt an Angreifern beobachtet, die diese Schwachstellen ausnutzen. Die Bedrohungslandschaft umfasst sowohl finanziell motivierte Cyberkriminelle als auch staatlich gesponserte Spionagegruppen, was ein beispielloses ‘All-you-can-eat-Buffet’ für bösartige Akteure darstellt.

Microsoft hat drei China-ausgerichtete Bedrohungsgruppen identifiziert, die die Schwachstellen ausnutzen: Linen Typhoon, Violet Typhoon und Storm-2603. Charles Carmakal von Google Cloud’s Mandiant-Einheit bestätigte, dass mindestens einer der für diese frühe Ausnutzung verantwortlichen Akteure ein China-nexus-Bedrohungsakteur ist.

Besonders besorgniserregend ist die Beteiligung von LuckyMouse (APT27), einer hochentwickelten chinesischen Cyber-Spionagegruppe, die hauptsächlich Regierungen, Telekommunikationsunternehmen und internationale Organisationen ins Visier nimmt. ESET-Forscher entdeckten eine mit LuckyMouse assoziierte Hintertür auf einer vietnamesischen Maschine, die über ToolShell kompromittiert wurde, obwohl unklar bleibt, ob es sich um eine neue Infektion oder eine bereits bestehende Kompromittierung handelt.

Zusätzlich zur Bedrohungskomplexität hat Microsoft berichtet, dass Storm-2603 begonnen hat, Warlock-Ransomware unter Verwendung dieser Schwachstellen einzusetzen, was eine Entwicklung von reiner Spionage zu Ransomware-Operationen markiert. Die Angriffe haben eine signifikante geografische Reichweite gezeigt, wobei die Vereinigten Staaten laut ESET-Telemetriedaten 13,3 % der Angriffe ausmachen.

Das Ausnutzungsverfahren beinhaltet die Bereitstellung bösartiger Webshells, insbesondere ‘spinstall0.aspx’, um kryptografische Geheimnisse von SharePoint-Servern zu extrahieren. Angreifer verwenden dann diese gestohlenen Validierungs- und Entschlüsselungsschlüssel, um gültige Authentifizierungstoken zu generieren, was einen anhaltenden Zugriff selbst nach dem Patchen der anfänglichen Schwachstellen ermöglicht.

Microsoft hat am 22. Juli 2025 Notfall-Sicherheitsupdates für alle betroffenen SharePoint-Versionen veröffentlicht. Experten warnen jedoch, dass allein das Patchen nicht ausreicht – Organisationen müssen auch ASP.NET-Maschinenschlüssel rotieren und IIS-Dienste neu starten, um Angreifer vollständig zu vertreiben.

Die U.S. Cybersecurity and Infrastructure Security Agency hat CVE-2025-53770 in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen und verlangt von Bundesbehörden, die Patches sofort anzuwenden. Angesichts der Attraktivität der Schwachstelle für verschiedene Bedrohungsakteure prognostizieren Sicherheitsexperten weiterhin Ausnutzungsversuche gegen ungepatchte Systeme für die kommenden Monate.

Organisationen, die On-Premises SharePoint-Server betreiben, wird dringend geraten, von einer Kompromittierung auszugehen und umfassende Incident-Response-Verfahren über einfaches Patchen hinaus zu implementieren.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!