Nach Angaben von Microsoft sind inzwischen rund 400 Organisationen von Angriffen auf On-Premises-Sharepoint-Server betroffen, darunter die US-Atombehörde NNSA. Die Schwachstellen werden von Angreifern aktiv zur Platzierung von Ransomware genutzt. Drei staatlich gesteuerte, chinesische Gruppierungen stehen unter Verdacht.

Die Zahl betroffener Organisationen im Zusammenhang mit den jüngsten SharePoint-Sicherheitslücken steigt weiter an. Nach ersten Schätzungen waren etwa 100 Unternehmen und Institutionen betroffen. Inzwischen geht Microsoft von rund 400 kompromittierten Umgebungen aus.

Laut Agenturberichten sind darunter auch Regierungsstellen in Europa, dem Nahen Osten sowie US-Behörden mit sicherheitsrelevanten Aufgaben – unter anderem die National Nuclear Security Administration (NNSA), die für die Wartung des US-Atomwaffenarsenals zuständig ist.

Anzeige

Schwachstellenanalyse: Zugang über MachineKeys und Systemrechte

Die genutzten Schwachstellen erlauben es laut Microsoft, kryptografische Schlüssel (MachineKeys) aus kompromittierten SharePoint-Servern zu extrahieren. Diese Schlüssel ermöglichen die Installation beliebiger Software auf den Systemen – einschließlich Ransomware oder sogenannter Backdoors, über die ein späterer Zugriff ermöglicht wird. Die Lücken wurden inzwischen durch Sicherheitsupdates adressiert, wobei in einzelnen Fällen bereits bekannte Patches umgangen wurden.

Angreiferprofile: Staatlich gesteuerte Gruppen im Fokus

Microsoft schreibt die aktuellen Angriffe drei Gruppierungen zu, die dem Umfeld chinesischer Cyberspionage zugerechnet werden: den bekannten Gruppen »Linen Typhoon« und »Violet Typhoon« sowie der neueren »Storm-2603«. Letztere wurde zuletzt in Verbindung mit der Verbreitung der Ransomware-Familie »Warlock« beobachtet. Die Gruppen zielen primär auf internet-exponierte On-Premises-Installationen von SharePoint. Die Angriffe begannen laut Microsoft spätestens am 18. Juli 2025. Die Gesamtabsicht der Kampagne bleibt laut Unternehmen bislang unklar.

Einschätzung der Lage und empfohlene Maßnahmen

Trotz veröffentlichter Sicherheits-Updates wird betroffenen Organisationen dringend empfohlen, ihre Systeme auf aktuellem Stand zu halten und weitere Schutzmaßnahmen zu implementieren. Dazu zählt neben der Aktivierung der Antimalware Scan Interface (AMSI) auch der Einsatz aktueller Endpoint-Security-Lösungen. Aufgrund der Möglichkeit zur Persistenz über eingesetzte Backdoors ist eine tiefergehende forensische Analyse kompromittierter Systeme angeraten.

Reaktionen und politische Dimension

Angesichts der betroffenen Zielgruppen wird vermutet, dass es sich bei der Kampagne weniger um wirtschaftlich motivierte Angriffe als vielmehr um staatlich gesteuerte Ausspähung oder geopolitisch motivierte Sabotage handelt.

Ein Sprecher der chinesischen Botschaft wies laut Medienberichten alle Vorwürfe zurück und forderte »eine professionelle und verantwortungsvolle Einstufung von Cyber-Vorfällen auf Grundlage überprüfbarer Beweise«.