08:30 – 17:30 Uhr

+4989741206 0

info@network4you.com

Home » Kritische Zero-Day-Lücke in SharePoint Server aktiv ausgenutzt – Sofortiges Handeln erforderlich

Kritische Zero-Day-Lücke in SharePoint Server aktiv ausgenutzt – Sofortiges Handeln erforderlich

22. Juli 2025 – Eine schwerwiegende Schwachstelle im Microsoft SharePoint Server (CVE-2025-53770, „ToolShell“) wird derzeit aktiv für Angriffe auf Unternehmen weltweit ausgenutzt. Die Lücke erlaubt unauthentifizierten Angreifern, über das Internet beliebigen Code auf betroffenen Servern auszuführen – inklusive Einschleusung von Web-Shells, Diebstahl kryptografischer Schlüssel und dauerhafter Systemkompromittierung.

Betroffen sind:

  • SharePoint Server 2016, 2019 und Subscription Edition (nur On-Premises)
  • Nicht betroffen: SharePoint Online

Laut Sicherheitsforschern von Wiz, Palo Alto, Arctic Wolf und CISA ist dies eine Weiterentwicklung früherer Schwachstellen (CVE-2025-49704/49706) und wird bereits aktiv ausgenutzt – vor allem bei nicht gepatchten Systemen mit Internetzugang. Die US-Behörde CISA hat CVE-2025-53770 in den Katalog der aktiv ausgenutzten Schwachstellen aufgenommen.

Microsoft hat Notfall-Updates veröffentlicht:

  • SharePoint SE: KB5002768
  • SharePoint 2019: KB5002754
  • SharePoint 2016: KB5002760 (aktuelles Zwischenupdate)

Empfohlene Schutzmaßnahmen:

  • Sicherheitsupdates sofort installieren
  • AMSI & Microsoft Defender aktivieren
  • ASP.NET Machine-Keys rotieren + IIS neu starten
  • Verdächtige Aktivitäten prüfen: POSTs an ToolPane.aspx, Dateien wie spinstall0.aspx, PowerShell-Prozesse unter w3wp.exe
  • Firewall aktualisieren: Blockieren bekannter Angriffs-IPs (u. a. 107.191.58.76, 104.238.159.149)

Warum ist die Lücke so gefährlich?

  • CVSS-Score: 9.8 von 10
  • Keine Authentifizierung nötig
  • Persistente Kontrolle durch ViewState-Manipulation
  • Betroffene Systeme müssen nach Angriff neu abgesichert oder neu aufgesetzt werden

Fazit:

Die Schwachstelle zählt zu den gefährlichsten SharePoint-Lücken der letzten Jahre. Betroffene Organisationen sollten umgehend Updates einspielen und forensische Analysen einleiten. Systeme ohne Patches sollten vorsorglich als kompromittiert betrachtet werden.

Weitere Informationen:
Microsoft Security Response Center (MSRC): msrc.microsoft.com

Bei Fragen oder zur Unterstützung bei der Absicherung Ihrer SharePoint-Infrastruktur stehen wir Ihnen gerne zur Verfügung.

Sie haben Fragen oder brauchen Unterstützung?

Kontaktieren Sie network4you (Systemhaus München) – wir beraten Sie gern!

info@network4you.com

Copyright © 2024 network4you GmbH. Alle Rechte vorbehalten.