Microsoft hat am Sonntag, dem 20.7.2025 Korrekturen veröffentlicht, um zwei aktiv ausgenutzte Sicherheitslücken in Sharepoint Server zu beheben. Dutzende von Firmen weltweit – darunter Banken, Universitäten und Regierungsbehörden – waren bereits Ziele von Angriffen. Laut dem BSI ist es Angreifern gelungen, die mit dem Juli-Patchday etablierten Schutzmaßnahmen zu umgehen. Bereits veröffentlichte Sicherheits-Updates reichen nicht aus. Für lokale Sharepoint-Server ist die Installation der Notfall-Updates unbedingt notwendig.

Immer wieder schaffen es Angreifer, in Infrastrukturen einzudringen und sich Zugang zu sensiblen Informationen zu verschaffen – selbst in gut gesicherten Umgebungen. Diese Angriffe sind nicht immer auf Zero-Day-Exploits angewiesen. Schwachstellen in Produkten, fehlerhafte Einstellungen, veraltete Verschlüsselungstechnologie oder ungeschützte Schnittstellen erleichtern es böswilligen Akteuren. Die Eindringlinge schlüpfen durch die Maschen der Überwachungssysteme und bleiben oft lange unbemerkt. Zahlreiche Updates, Empfehlungen und Patches der Hersteller zeigen, wie Standardeinstellungen oder exponierte Infrastruktur alltägliche Systeme zu Einfallspunkten machen.

Anzeige

Sharepoint-Schwachstellen: Lokale Server geraten erneut ins Visier von Angreifern

Am 19. Juli 2025 veröffentlichte Microsoft ein Sicherheits-Advisory zu einer kritischen Schwachstelle in SharePoint Server (CVE-2025-53770). Angreifer nutzen laut Microsoft und Sicherheitsfirmen wie Palo Alto Networks, Bitdefender und Eye Security gezielt diese Lücke, um Remote-Code auszuführen. Die Schwachstelle wurde mit einem CVSS-Wert von 9,8/10 als kritisch eingestuft. Die Angriffe erfolgen trotz installierter Juli-Sicherheits-Updates. Schutz bieten aktiviertes AMSI (Antimalware Scan Interface) und die Verwendung von Microsoft Defender for Sharepoint Server.

Zwar wurden beide Sicherheitslücken von Microsoft bereits Anfang des Monats im Rahmen seines Patch Tuesday-Updates behoben. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt jedoch, dass es »Angreifern nach aktuellen Erkenntnissen gelungen ist, die mit dem Juli-Patchday etablierten Schutzmaßnahmen zu umgehen«, weil »die bereits veröffentlichten Sicherheitsupdates nicht mehr ausreichen«. Die Experten empfehlen dringend eine Installation der Notfall-Updates vom 20.7.25. Auch Microsoft bestätigte, dass »aktive Angriffe auf lokale Sharepoint Server-Kunden« bekannt sind, welche »die Schwachstellen ausnutzen, die teilweise durch das Sicherheitsupdate vom Juli behoben wurden«.

Von der Schwachstelle betroffen sind ausschließlich lokal betriebene Sharepoint-Server der Versionen Sharepoint 2016, Sharepoint 2019 sowie SharePoint Subscription Edition. Microsoft 365 und SharePoint Online sind nicht betroffen. Die Angriffe kombinieren CVE-2025-53770 mit einer weiteren Sicherheitslücke (CVE-2025-53771, CVSS 6.3), die sogenannte Spoofing-Angriffe über das Netzwerk ermöglicht. Der Exploit ist öffentlich unter dem Namen ToolShell bekannt.

Was kann passieren?

• Vollständiger Zugriff auf Dateien und Konfiguration
• Remote-Code-Ausführung auf dem Server
• Diebstahl von ASP.NET Machine Keys → persistenter Zugang auch nach dem Patchen
• Passwort- und Datendiebstahl
• Lateral Movement innerhalb von Netzwerken

Das niederländische Sicherheitsunternehmen Eye Security warnt vor bereits kompromittierten Systemen in Deutschland. Auch Palo Alto Networks berichtet von Angriffen auf Dutzende Organisationen im Regierungs- und Unternehmensumfeld.

Sicherheits-Updates unumgänglich

Microsoft hat die Probleme bereits in folgenden Versionen behoben:
● Microsoft Sharepoint Server 2019 (16.0.10417.20027)
● Microsoft Sharepoint Enterprise Server 2016 (16.0.5508.1000)
● Microsoft Sharepoint Server Subscription Edition
● Microsoft Sharepoint Server 2019 Core
● Microsoft Sharepoint Server 2019 Language Pack
● Microsoft Sharepoint Enterprise Server 2016
● Microsoft Sharepoint Enterprise Server 2016 Language Pack

Nach dem Installieren der neuesten Sicherheits-Updates oder dem Aktivieren von AMSI ist es laut Microsoft wichtig, dass Kunden die ASP.NET-Maschinenschlüssel von Sharepoint Server rotieren und IIS auf allen Sharepoint-Servern neu starten. Lässt sich AMSI nicht aktivieren, müssen die Schlüssel nach der Installation des neuen Sicherheits-Updates rotieren.

Palo Alto Networks Unit 42 bestätigte, dass Behörden, Schulen, das Gesundheitswesen, einschließlich Krankenhäuser und große Unternehmen unmittelbar gefährdet sind. »Unit 42 beobachtet eine wirkungsvolle, andauernde Bedrohungskampagne, die auf lokale Microsoft Sharepoint-Server abzielt«, betont Michael Sikorski, CTO und Head of Threat Intelligence für Unit 42 bei Palo Alto Networks.

Unternehmen sollten die Empfehlungen des Herstellers und Warnungen von Behörden wie dem BSI ernst nehmen und umgehend agieren. Wird Sharepoint lokal betrieben und ist mit dem Internet verbunden, sollten Firmen zu diesem Zeitpunkt davon ausgehen, dass sie kompromittiert wurden. Patching allein ist unzureichend, um die Bedrohung vollständig zu beseitigen.

Schutzmaßnahmen & Empfehlungen

BSI und Microsoft raten zu folgenden sofortigen Maßnahmen:

• Installation der aktuellen Notfall-Updates
• Aktivierung des AMSI (Antimalware Scan Interface)
• Verwendung von Microsoft Defender for SharePoint Server
• Wechsel der Machine Keys, falls ein kompromittierter Server betroffen ist
• Trennung vom Internet, falls Maßnahmen nicht zeitnah umgesetzt werden können

Besonders besorgniserregend ist die tiefe Integration von Sharepoint in die Microsoft-Plattform, einschließlich ihrer Dienste wie Office, Teams, OneDrive und Outlook, die alle für einen Angreifer wertvollen Informationen enthalten. Eine Kompromittierung bleibt nicht eingegrenzt – sie öffnet die Tür zum gesamten Netzwerk. Einmal im System, können Angreifer sensible Daten exfiltrieren, permanente Hintertüren installieren oder kryptographische Schlüssel stehlen.

Unternehmen, die Sharepoint lokal betreiben, sollten sofort handeln und:

• alle relevanten Patches, sobald sie verfügbar werden, installieren, und
• sämtliches kryptographisches Material rotieren.

Eine Notlösung ist, Microsoft Sharepoint vom Internet zu trennen, bis ein Patch verfügbar ist. »Ein falsches Sicherheitsgefühl könnte zu anhaltender Exposition und weitreichender Kompromittierung führen«, ist sich Palo-Alto-Networks-CTO Sikorski sicher.

Hintergrund

Microsofts Sharepoint-Server gelten seit Jahren als attraktives Ziel für Angreifer. Die hohe Verbreitung – über 9.000 öffentlich erreichbare Instanzen weltweit, davon über 320 in Deutschland – sowie die enge Verzahnung mit Outlook, Teams und OneDrive erhöhen die Angriffsfläche erheblich.

In den USA seien Server von zwei Bundesbehörden erfolgreich angegriffen worden, schrieb die Washington Post unter Berufung auf Experten. Angaben dazu, um welche Behörden es geht, wurden nicht gemacht.

Die nun bekannt gewordene Schwachstelle reiht sich in eine Serie kritischer Angriffe auf Microsoft-Infrastruktur ein – zuletzt etwa die Exchange-Hacks 2023, mutmaßlich durch chinesische Akteure.

Mandiant, der Cybersecurity-Dienst von Google Cloud, vermutet Ähnliches hinter den aktuellen Attacken: »Wir gehen davon aus, dass es sich bei mindestens einem der für diese frühe Ausnutzung verantwortlichen Akteure um einen Bedrohungsakteur mit chinesischem Hintergrund handelt«, kommentiert Charles Carmakal, CTO von Mandiant Consulting bei Google Cloud. »Es ist wichtig zu verstehen, dass mehrere Akteure diese Schwachstelle nun aktiv ausnutzen. Wir gehen fest davon aus, dass sich dieser Trend fortsetzen wird, da verschiedene andere Bedrohungsakteure aus unterschiedlichen Motiven diese Schwachstelle ebenfalls ausnutzen werden.«