Angriffe, die eine SharePoint-Zero-Day-Sicherheitslücke ausnutzen, zielen derzeit aktiv auf Tausende Organisationen weltweit. Hacker nutzen eine kritische Schwachstelle zur Remote Code Execution (RCE) aus, die unter der Kennung CVE-2025-53770 geführt wird. Microsoft hat Notfall-Patches veröffentlicht, um die Bedrohung einzudämmen, doch Experten warnen, dass Updates allein nicht ausreichen.
Eye Security identifizierte den Exploit erstmals am 18. Juli und benannte die Angriffskette als ToolShell. Seitdem haben Angreifer über 85 Server in 54 Organisationen kompromittiert. Zu den Betroffenen zählen US-Behörden, Unternehmen aus der Energie- und Gesundheitsbranche sowie private Tech-Firmen.
Die Schwachstelle erlaubt es Angreifern, schädlichen Code auf verwundbaren SharePoint-Servern zu platzieren – ohne Zugangsdaten. Einmal eingedrungen, können sie kryptografische Schlüssel stehlen, Benutzeridentitäten übernehmen und sich seitlich über Microsoft-Dienste wie Teams und Outlook im Netzwerk bewegen.
Welche Versionen sind betroffen?
Microsoft hat bestätigt, dass folgende On-Premises-Versionen betroffen sind:
- SharePoint Server Subscription Edition – Patch verfügbar
- SharePoint Server 2019 – Patch verfügbar
- SharePoint Server 2016 – Noch kein Patch verfügbar
- SharePoint Online ist nicht betroffen
Laut der ShadowServer Foundation sind täglich rund 9.300 SharePoint-IP-Adressen öffentlich zugänglich. Die Länder mit den meisten exponierten Servern sind:
- Vereinigte Staaten – 3.043
- Irland – 695
- Niederlande – 541
- Vereinigtes Königreich – 541
- Kanada – 495
- Deutschland – 338
So funktioniert der Exploit
Die Schwachstelle basiert auf der Deserialisierung nicht vertrauenswürdiger Daten. Dadurch können Angreifer beliebigen Code aus der Ferne ausführen. Laut Microsoft hat der Exploit einen CVSS-Score von 9,8, was seine Schwere unterstreicht.
Angreifer umgehen Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) und Single Sign-On (SSO) und installieren dauerhafte Hintertüren. Die eingeschleusten ASPX-Payloads geben kryptografische Schlüssel preis und ermöglichen so anhaltenden Zugriff – selbst nach Updates. Eye Security warnt, dass Angreifer auch Neustarts und Softwareänderungen überleben können.
Updates allein reichen nicht aus
Microsoft und die CISA fordern sofortige Maßnahmen. Wenn ein Patch nicht sofort installiert werden kann, sollten betroffene Systeme vom Internet getrennt werden.
Empfohlene Schritte:
- Installieren Sie die neuesten Sicherheitsupdates für unterstützte Versionen
- Aktivieren Sie AMSI (Antimalware Scan Interface) im vollständigen Modus
- Installieren Sie Microsoft Defender Antivirus auf allen SharePoint-Servern
- Rotieren Sie Maschinenschlüssel und starten Sie IIS neu, um gestohlene Tokens ungültig zu machen
- Überprüfen Sie Protokolle auf verdächtige ToolPane-Zugriffe und POST-Anfragen
CISA hat die Schwachstelle in ihren Katalog der Known Exploited Vulnerabilities (KEV) aufgenommen und US-Behörden nur einen Tag Zeit gegeben, um ihre Systeme zu patchen oder zu isolieren.
Überwachen Sie diese Indikatoren für Kompromittierung
Achten Sie auf POST-Anfragen an:
bashCopyEdit/_layouts/15/ToolPane.aspx?DisplayMode=Edit
Bekannte Angreifer-IP-Adressen:
- 107.191.58[.]76
- 104.238.159[.]149
- 96.9.125[.]147
Es ist wahrscheinlich, dass weitere IP-Adressen im Einsatz sind.
Aktualisieren Sie auch Ihre Systeme zur Angriffserkennung und beschränken Sie unnötige Administratorrechte, um Risiken zu minimieren.
Fazit
Der SharePoint-Zero-Day-Exploit zählt zu den schwerwiegendsten Cyberbedrohungen des Jahres. Er ermöglicht Hintertür-Zugriff, Diebstahl von Zugangsdaten und seitliche Bewegungen im Netzwerk. Organisationen müssen sofort handeln. Patchen, Überwachen und Rotieren kryptografischer Schlüssel sind entscheidend – aber das Isolieren kompromittierter Server könnte die einzige Möglichkeit sein, langfristige Schäden zu verhindern.
0 Kommentare zu „Massiver SharePoint-Zero-Day-Exploit bedroht Tausende Organisationen“