Kritische Sicherheitslücke CVE-2025-53770 in Microsoft SharePoint Server

von | Juli 21, 2025 | Blog, Cybersecurity | 0 Kommentare

IT-Sicherheit für Unternehmen

In der heutigen digitalen Landschaft sind Unternehmensanwendungen beliebte Ziele für Cyberangriffe, da sie oft sensible Geschäftsinformationen enthalten. Microsoft SharePoint Server, eine weit verbreitete Plattform für die Zusammenarbeit und das Dokumentenmanagement in Unternehmen, steht aktuell im Fokus wegen der kritischen Sicherheitslücke CVE-2025-53770, die bereits aktiv von Angreifern ausgenutzt werden. Die Sicherheit von SharePoint On-Premises-Installationen hat durch die entdeckten Schwachstellen erhebliche Risiken erfahren, die es dringend zu adressieren gilt.

Übersicht der Sicherheitslücken in Microsoft SharePoint Server

Am 20. Juli 2025 veröffentlichte Microsoft eine Sicherheitswarnung zu zwei gravierenden Schwachstellen in lokalen Installationen von SharePoint Server. Diese Schwachstellen betreffen insbesondere die Versionen SharePoint Server 2016, 2019 sowie die SharePoint Subscription Edition. Microsoft stellte klar, dass SharePoint Online von Microsoft 365 nicht betroffen ist.

Die erste und besonders kritische Sicherheitslücke CVE-2025-53770 wurde mit einem CVSS-Score von 9,8 bewertet, was sie als extrem ernsthafte Bedrohung klassifiziert. Hierbei handelt es sich um eine Schwachstelle zur Remote Code Execution (RCE), welche durch die Deserialisierung von nicht vertrauenswürdigen Daten entsteht. Konkret ermöglicht diese Schwachstelle Angreifern, über eine manipulierte Eingabe auf dem Server Schadcode auszuführen – ein Szenario, das für Unternehmen verheerende Folgen haben kann.

Die zweite Schwachstelle (CVE-2025-53771), ein Spoofing-Fehler (Bewertung 6,3), ermöglicht es autorisierten Angreifern, über eine sogenannte Pfadüberschreitung (Path Traversal) Netzwerk-Spoofing durchzuführen. Diese Schwachstelle wurde von einem anonymen Forscher entdeckt und gibt Einblick in die Komplexität der Angriffsvektoren, die SharePoint-Sicherheitslücken ausnutzen können.

Zusammenhang zu vorherigen Sicherheitslücken und Exploit-Ketten

Die aktuellen Schwachstellen hängen mit zwei weiteren, bereits im Juli 2025 veröffentlichten SharePoint-Sicherheitslücken (CVE-2025-49704 und CVE-2025-49706) zusammen, die ebenfalls Remote Code Execution erlaubten. Zusammen bilden sie eine Exploit-Kette namens „ToolShell“, welche einen Angreifer in die Lage versetzt, komplexe Angriffe auf SharePoint-Server durchzuführen.

Microsoft hat betont, dass die neuen Updates für die kritische Sicherheitslücke CVE-2025-53770 und CVE-2025-53771 „robustere Schutzmaßnahmen“ bieten als die Patches für die Vorgängerlücken. Diese Entscheidung unterstreicht die Schwere der Sicherheitsproblematik und die Notwendigkeit, stets die aktuellsten Sicherheitspatches einzuspielen.

Aktive Angriffe und der Sicherheitsnotstand

Die Bedrohung durch die genannten Sicherheitslücken ist real und wird bereits aktiv ausgenutzt. Berichte von Sicherheitsexperten, darunter das Unternehmen Eye Security, belegen, dass mindestens 54 Organisationen, darunter Banken, Universitäten und Regierungsstellen, kompromittiert wurden. Diese Angriffe begannen etwa Mitte Juli 2025 und setzen kompromittierte SharePoint-Server als Eintrittspunkte für weitergehende Unternehmensnetzwerk-Angriffe ein.

Die US-amerikanische Behörde für Cybersicherheit und Infrastruktur (CISA) hat CVE-2025-53770 in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen und fordert Bundesbehörden auf, die entsprechenden Updates bis zum 21. Juli 2025 einzuspielen. Auch der Sicherheitsexpertenzweig „Unit 42“ von Palo Alto Networks warnt vor dieser hochriskanten Bedrohung und beschreibt eine umfassende Angriffskampagne, bei der Angreifer Identitätskontrollen wie Multi-Faktor-Authentifizierung (MFA) und Single Sign-On (SSO) umgehen, um sich privilegierten Zugriff zu verschaffen. Anschließend werden sensible Daten exfiltriert, persistente Backdoors installiert und kryptografische Schlüssel entwendet.

Ebenso warnt auch das BSI vor der Ausnutzung dieser kritischen Sicherheitslücke und liefert wertvolle Informationen zu IoC (Indicator of Compromise)

Nach Angaben des IT-Sicherheitsunternehmens Eye Security konnte eine Kompromittierung einiger Firmen im Zeitraum zwischen dem 18. Juli 18:00 UTC Uhr und dem 19. Juli 7:30 UTC beobachtet werden. Aufgrund der systematischen Ausnutzung bereits vor dem Erscheinen der Patches ist es unbedingt notwendig auf eine stattgefundene Kompromittierung zu prüfen.

Folgende Indikatoren deuten auf eine Kompromittierung hin [MSRC25a][CISA25][EYE25][PALO25]:

  • ∙ POST Requests an:
    • /_layouts/15/ToolPane.aspx?DisplayMode=Edit
    • /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx – POST Pfad zur Ausnutzung und Upload von Sharpyshell im Zusammenhang mit CVE-2025-49706 und CVE-2025-53770.
    • Referer: /_layouts/SignOut.aspx – HTTP Header in Verbindung mit der Ausnutzung von ToolPane.aspx in der POST Request
  • GET Request zur schadhaften ASPX Datei in /_layouts/15/spinstall0.aspx
  • IP Verbindungen von/zu den IPs (insbesondere im oben genannten Zeitraum):
    • 107.191.58[.]76
    • 104.238.159[.]149
    • 96.9.125[.]147
    • 103.186.30[.]186
  • Beobachtete User Agents während der Ausnutzung:
    • Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
    • Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0 – URL-encoded User Agent string für IIS log Suchen
  • 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 – SHA256 Hash von spinstall0.aspx Crypto dumper vermutlich erstellt mit Sharpyshell
  • C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx – Pfad der schadhaften aspx Datei auf Windows Server mit SharePoint

Unit42 nennt zudem Hashwerte, die in Verbindung mit der Ausnutzung durch 96.9.125[.]147 und geladenen .NET Modulen beobachtet wurden [PALO25]:

  • 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030  <– initial hash observed
  • b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
  • fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7  <– targeting the view state

Risiken für Unternehmen und Organisationen

Besonders kritisch ist, dass kompromittierte SharePoint-Server als „Tor“ zum gesamten Unternehmensnetzwerk fungieren können. Da SharePoint eng mit anderen Microsoft-Diensten wie Office, Teams, OneDrive und Outlook vernetzt ist, ermöglicht eine erfolgreiche Kompromittierung eine weitreichende Ausdehnung der Angriffe. Dies kann zu massiven Datenschutzverletzungen, Produktionsausfällen und erheblichen finanziellen Schäden führen.

Organisationen, deren SharePoint-Server über das Internet erreichbar sind, sollten davon ausgehen, dass sie bereits angegriffen wurden, wenn keine Schutzmaßnahmen ergriffen wurden. Patches alleine reichen oft nicht aus, um einen bereits erfolgten Angriff rückgängig zu machen – umso wichtiger sind umfassende Reaktionsstrategien und die konsequente Umsetzung der empfohlenen Sicherheitsmaßnahmen.

Empfohlene Maßnahmen zum Schutz von SharePoint On-Premises

Microsoft empfiehlt grundsätzlich, auf unterstützte Versionen von SharePoint Server (2016, 2019 und Subscription Edition) zu setzen und umgehend die neuesten Sicherheitsupdates zu installieren. Darüber hinaus sind folgende Maßnahmen für den bestmöglichen Schutz unerlässlich:

  • Aktivierung der Antimalware Scan Interface (AMSI): Dieses Interface hilft, schädlichen Code in Echtzeit zu erkennen und zu blockieren. Zusammen mit einer aktuellen Antivirenlösung wie Microsoft Defender Antivirus erhöht AMSI die Detektionsrate von Schadsoftware erheblich.
  • Einsatz von Microsoft Defender for Endpoint oder gleichwertigen Sicherheitstools: Weitere Schutzschichten wie Endpoint Detection and Response (EDR) sind heute unverzichtbar, um hochentwickelte Angriffe zu erkennen und abzuwehren.
  • Rotation der ASP.NET-Maschinenschlüssel: Nach dem Einspielen der Patches oder Aktivierung von AMSI müssen die ASP.NET-Maschinenschlüssel für SharePoint Server gewechselt und die IIS-Dienste (Internet Information Services) neu gestartet werden. Dieses Vorgehen verhindert das Fortbestehen bestehender kompromittierter Sitzungen oder Schlüssel, die Angreifern Zugriff ermöglichen könnten.
  • Isolierung von SharePoint-Servern vom Internet: Eine kurzfristige, aber effektive Maßnahme besteht darin, SharePoint On-Premises-Installationen komplett offline zu nehmen beziehungsweise vom Internet zu trennen, bis die Sicherheitspatches eingespielt sind.
  • Durchführung von Incident Response: Trotz Patching sollten Unternehmen davon ausgehen, dass Angreifer bereits eingedrungen sind. Professionelle Analyse und Beseitigung von eventuell vorhandenen Hintertüren und kompromittierten Konten ist unabdingbar, um den Schaden zu begrenzen.

Fazit: Dringender Handlungsbedarf für Unternehmen mit SharePoint On-Premises

Die aktuellen Sicherheitslücken in Microsoft SharePoint Server stellen eine erhebliche Gefahr dar, welche die gesamte IT-Infrastruktur von Unternehmen kompromittieren können. Das Auftreten aktiver Angriffe macht deutlich, dass unverzügliches Handeln erforderlich ist, um Schäden und Datenschutzverletzungen zu vermeiden. Die Kombination aus kritischen Schwachstellen, die bereits ausgenutzt werden, und der engen Integration von SharePoint in andere Microsoft-Dienste verschärft die Situation.

Unternehmen, die SharePoint On-Premises verwenden, sollten daher konsequent und zügig folgende Punkte umsetzen: Aktualisierung auf die neuesten Patches, Einschalten und Optimieren von AMSI und Antivirenlösungen, Rotation der ASP.NET-Schlüssel, Einsatz moderner Endpoint-Sicherheitslösungen sowie gegebenenfalls temporäre Abschottung der Server vom Internet. Parallel dazu sind umfassende Sicherheitsanalysen und Notfallmaßnahmen dringend anzuraten.

 

Häufig gestellte Fragen (FAQs)

1. Betrifft die Sicherheitswarnung auch SharePoint Online in Microsoft 365?
Nein, die Sicherheitslücken betreffen ausschließlich On-Premises-Versionen von SharePoint Server. SharePoint Online in Microsoft 365 ist derzeit nicht betroffen.

2. Welche Versionen von SharePoint Server sind gefährdet?
Gefährdet sind Microsoft SharePoint Server 2016, 2019 und SharePoint Subscription Edition.

3. Welche Versionen von SharePoint Server sind sicher?

ProductKB ArticleSecurity UpdateFixed Build Number
Microsoft SharePoint Server 20195002741Security Update16.0.10417.20027
Microsoft SharePoint Enterprise Server 20165002744Security Update16.0.5508.1000

4. Warum ist die Rotation der ASP.NET-Maschinenschlüssel wichtig?
Die Rotation der Maschinenschlüssel ist wichtig, um kompromittierte Schlüssel zu invalidieren, die Angreifern dauerhaft Zugriff ermöglichen könnten, selbst nach einem Patch.

5. Reichen Sicherheitsupdates alleine aus, um die Gefahr zu beseitigen?
Nein, Patching ist essentiell, aber bei aktiven Angriffen müssen auch weitere Schutzmaßnahmen und Incident-Response-Maßnahmen durchgeführt werden, um hinterlassene Backdoors zu beseitigen.

6. Was tun, wenn mein SharePoint-Server öffentlich im Internet verfügbar ist?
Es wird dringend empfohlen, den Server vorübergehend vom Internet zu trennen, bis die Sicherheitsupdates eingespielt und alle Schutzmaßnahmen aktiviert sind.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert