Hackerparagraph,IT-Security, Linux  Bild © DALL-EHackerparagraph,IT-Security, Linux (Bild © DALL-E)

Welche SharePoint Server sind betroffen?

Microsoft hat die Existenz von zwei Sicherheitslücken bestätigt, CVE-2025-53770 und CVE-2025-53771, die SharePoint Server-Versionen 2016, 2019 und Subscription Edition betreffen. CVE-2025-53770, die mit einem kritischen CVSS-Wert von 9,8 bewertet wurde, umgeht den früheren Sicherheitspatch (CVE-2025-49704), der nach der Cybersicherheitsveranstaltung Pwn2Own 2025 veröffentlicht wurde. CVE-2025-53771, der als mittelschwer eingestuft wurde, ermöglicht die Umgehung des Patches für CVE-2025-49706 und damit potenziell Spoofing-Angriffe.

Die Gegenmaßnahmen

Während für SharePoint Server 2019 und Subscription Edition derzeit manuelle Patches verfügbar sind, gab es für SharePoint Server 2016 zunächst keine direkte Lösung, sodass stattdessen allgemeine Gegenmaßnahmen zum Einsatz kamen. Microsoft hat seinen Hinweis inzwischen aktualisiert und einen speziellen Patch für SharePoint Server 2016 hinzugefügt. Zu den empfohlenen vorläufigen Maßnahmen zur Sicherung anfälliger Systeme gehören die Installation der neuesten Updates, die Verwendung von Microsoft Defender oder ähnlichen Sicherheitslösungen, die ordnungsgemäße Konfiguration der Antimalware-Scan-Schnittstelle (AMSI) und die Aktualisierung der ASP.NET-Maschinenschlüssel.

Sicherheitsforscher von Eye Security haben eine fortlaufende Ausnutzung entdeckt und gemeldet und dabei einen Malware-Übertragungsvektor namens „Toolshell“ beschrieben. Eine weltweite Untersuchung der Shadowserver Foundation identifizierte etwa 9.300 öffentlich zugängliche SharePoint-Server, von denen mindestens 85 in 54 verschiedenen Organisationen als kompromittiert bestätigt wurden.

Angreifer, die diese Schwachstelle ausnutzen, können die vollständige Kontrolle über die SharePoint-Serverumgebung erlangen, dauerhafte Backdoors installieren, die auch nach Neustarts und Updates bestehen bleiben, sensible Daten exfiltrieren und sich möglicherweise auf andere Netzwerkressourcen innerhalb der Windows-Domäne ausbreiten.

Betroffenen wird empfohlen, kompromittierte SharePoint-Instanzen sofort zu isolieren, die Passwörter für Administrator- und Dienstkonten zurückzusetzen, verfügbare Patches zu installieren und Cybersicherheitsspezialisten mit einer gründlichen Systemanalyse zu beauftragen. Sicherheitsforscher haben Indikatoren für Kompromittierung bereitgestellt, um Unternehmen bei der schnellen Identifizierung von Sicherheitsverletzungen zu unterstützen.