Kritische Sicherheitslücke in SharePoint: Über 75 Organisationen betroffen

LONDON (IT BOLTWISE) – Eine kritische Sicherheitslücke in Microsoft SharePoint Server hat weltweit zu einer groß angelegten Angriffskampagne geführt, die bereits über 75 Organisationen betroffen hat.

Eine schwerwiegende Sicherheitslücke in Microsoft SharePoint Server, bekannt als CVE-2025-53770, wird derzeit aktiv ausgenutzt und hat weltweit zu erheblichen Sicherheitsvorfällen geführt. Diese Zero-Day-Schwachstelle, die eine CVSS-Bewertung von 9,8 aufweist, ist eine Variante der zuvor bekannten Schwachstelle CVE-2025-49706, die Microsoft im Rahmen der Juli-2025-Patch-Dienstag-Updates adressiert hatte.

Die Schwachstelle ermöglicht es Angreifern, durch die Deserialisierung nicht vertrauenswürdiger Daten auf On-Premises-SharePoint-Servern, Code über ein Netzwerk auszuführen. Microsoft hat in einer am 19. Juli 2025 veröffentlichten Sicherheitswarnung erklärt, dass derzeit an einem umfassenden Update gearbeitet wird, um das Problem zu beheben. Die Entdeckung und Meldung der Schwachstelle wird Viettel Cyber Security zugeschrieben, die über Trend Micros Zero Day Initiative (ZDI) darauf aufmerksam gemacht haben.

Microsoft hat zudem bekannt gegeben, dass es bereits aktive Angriffe auf On-Premises-SharePoint-Server gibt, während SharePoint Online in Microsoft 365 nicht betroffen ist. In Ermangelung eines offiziellen Patches empfiehlt Microsoft, die Antimalware Scan Interface (AMSI)-Integration in SharePoint zu konfigurieren und Defender AV auf allen SharePoint-Servern zu implementieren.

Die AMSI-Integration ist standardmäßig im Sicherheitsupdate vom September 2023 für SharePoint Server 2016/2019 und im Feature-Update Version 23H2 für SharePoint Server Subscription Edition aktiviert. Für diejenigen, die AMSI nicht aktivieren können, wird empfohlen, den SharePoint-Server vom Internet zu trennen, bis ein Sicherheitsupdate verfügbar ist. Zusätzlich wird die Implementierung von Defender for Endpoint empfohlen, um post-exploit Aktivitäten zu erkennen und zu blockieren.

Die Offenlegung erfolgt zeitgleich mit Warnungen von Eye Security und Palo Alto Networks Unit 42, die auf Angriffe hinweisen, bei denen CVE-2025-49706 und CVE-2025-49704, eine Code-Injektionsschwachstelle in SharePoint, kombiniert werden, um beliebige Befehle auf anfälligen Instanzen auszuführen. Diese Exploit-Kette wurde als ToolShell bezeichnet.

Die Angriffe umfassen die Bereitstellung von ASPX-Payloads über PowerShell, die dann verwendet werden, um die MachineKey-Konfiguration des SharePoint-Servers zu stehlen, einschließlich des ValidationKey und des DecryptionKey, um einen dauerhaften Zugriff zu gewährleisten. Diese Schlüssel sind entscheidend für die Erstellung gültiger __VIEWSTATE-Payloads, wodurch jede authentifizierte SharePoint-Anfrage in eine Möglichkeit zur Remote-Code-Ausführung verwandelt wird.

Eye Security CTO Piet Kerkhofs erklärte gegenüber The Hacker News, dass weiterhin massenhafte Exploit-Wellen identifiziert werden. Dies könnte erhebliche Auswirkungen haben, da Angreifer sich mit hoher Geschwindigkeit lateral bewegen. Fast 75 Organisationen wurden bereits über den Einbruch informiert, nachdem auf ihren SharePoint-Servern bösartige Webshells identifiziert wurden. Darunter befinden sich große Unternehmen und Regierungsbehörden weltweit.

Microsoft hat seine Sicherheitswarnungen für CVE-2025-49706 und CVE-2025-49704 noch nicht aktualisiert, um die aktive Ausnutzung widerzuspiegeln. Wir haben das Unternehmen um weitere Klarstellung gebeten und werden die Geschichte aktualisieren, sobald wir eine Antwort erhalten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!