Was ist passiert?
Microsoft sieht sich erneut mit einer massiven Bedrohung konfrontiert. Zwei schwerwiegende Sicherheitslücken in den On-Premises-Versionen von SharePoint Server – CVE-2025-53770 und CVE-2025-53771 – werden derzeit aktiv ausgenutzt. Diese sogenannten Zero-Day-Lücken ermöglichen es Angreifern, ohne Authentifizierung beliebigen Code auszuführen. Die Schwachstellen sind Teil einer größeren Angriffskampagne, die unter dem Namen ToolShell bekannt ist.
Weitere Informationen: The Hacker News Bericht
Was steckt hinter den Schwachstellen?
Die Schwachstelle CVE-2025-53770 mit einem CVSS-Wert von 9,8 wird als besonders gefährlich eingestuft. Sie ermöglicht Remote Code Execution durch unsichere Deserialisierung. Microsoft bezeichnet sie als Variante der bereits im Juli gepatchten CVE-2025-49704.
CVE-2025-53771 (CVSS 7,1) erlaubt durch Pfadmanipulationen sogenannte „Spoofing“-Angriffe. Auch diese Lücke wurde als Weiterentwicklung der früheren CVE-2025-49706 identifiziert. Laut Varonis und Bitsight sind beide Schwachstellen miteinander verknüpft und ermöglichen es Angreifern, sich dauerhaft Zugang zu verschaffen.
Wie funktioniert der ToolShell-Angriff?
Beim ToolShell-Angriff senden Cyberkriminelle manipulierte Anfragen an eine interne SharePoint-Funktion, um die Authentifizierung zu umgehen. Anschließend laden sie eine schädliche Webshell hoch, die über PowerShell ausgeführt wird. Damit stehlen sie vertrauliche Sicherheitsschlüssel wie den ValidationKey und DecryptionKey.
Mit diesen Schlüsseln können die Angreifer sogenannte __VIEWSTATE-Payloads erzeugen, die wie legitime Befehle aussehen. So verschaffen sie sich dauerhaft Zugriff auf das System, können beliebigen Code ausführen und sich unentdeckt im Netzwerk bewegen.
Wer ist betroffen?
Seit Mitte Juli wurden über 400 Unternehmen weltweit Opfer der ToolShell-Angriffe. Betroffen sind unter anderem Banken, Krankenhäuser, Universitäten und Regierungsbehörden – darunter auch Einrichtungen wie das US-Energieministerium. Die US-amerikanische Cybersicherheitsbehörde hat die Schwachstelle offiziell als aktiv ausgenutzt eingestuft.
Besonders gefährdet sind Organisationen, die SharePoint tief in ihre IT-Infrastruktur eingebunden haben – etwa über Outlook, Teams oder OneDrive. Diese enge Integration vergrößert die potenzielle Angriffsfläche erheblich. Ein einmaliger Zugriff auf SharePoint kann so schnell zu einer umfassenden Kompromittierung des gesamten Netzwerks führen.
Was sollten Unternehmen jetzt tun?
Microsoft hat außerplanmäßige Sicherheitsupdates am 19. und 20. Juli veröffentlicht. Eine vollständige Übersicht der empfohlenen Maßnahmen stellt Microsoft im offiziellen Sicherheitsblog bereit. Wichtig ist nicht nur das Einspielen der Updates, sondern auch die Rotation der MachineKeys und das anschließende Neustarten des IIS-Dienstes auf allen betroffenen Servern. Unternehmen, die AMSI (Antimalware Scan Interface) nicht aktivieren können, sollten ihre SharePoint-Server vorübergehend vom Internet trennen, um weitere Angriffe zu verhindern. Zusätzlich empfiehlt Microsoft, Microsoft Defender Antivirus im Full Mode zu betreiben und Microsoft Defender for Endpoint einzusetzen. Wer andere Sicherheitslösungen nutzt, sollte sicherstellen, dass diese eine ebenso effektive Bedrohungserkennung und -abwehr bieten.
