Zero-Day-Sicherheitslücke betrifft weltweit Microsoft SharePoint-Server mit aktiver Ausnutzung

Eine kritische Zero-Day-Sicherheitslücke wird gerade Microsofts lokalen SharePoint Server-zum Verhängnis. Sie wird derzeit in groß angelegten Cyberangriffen aktiv ausgenutzt. Die als CVE-2025-53770 identifizierte Sicherheitslücke ermöglicht es Angreifern, ohne Authentifizierung aus der Ferne schädlichen Code (Remote Code Execution) auszuführen, was ein ernstes Sicherheitsrisiko für betroffene Unternehmen darstellt.

Hackerparagraph,IT-Security, Linux (Bild © DALL-E)

Welche SharePoint Server sind betroffen?

Microsoft hat die Existenz von zwei Sicherheitslücken bestätigt, CVE-2025-53770 und CVE-2025-53771, die SharePoint Server-Versionen 2016, 2019 und Subscription Edition betreffen. CVE-2025-53770, die mit einem kritischen CVSS-Wert von 9,8 bewertet wurde, umgeht den früheren Sicherheitspatch (CVE-2025-49704), der nach der Cybersicherheitsveranstaltung Pwn2Own 2025 veröffentlicht wurde. CVE-2025-53771, der als mittelschwer eingestuft wurde, ermöglicht die Umgehung des Patches für CVE-2025-49706 und damit potenziell Spoofing-Angriffe.

Die Gegenmaßnahmen

Während für SharePoint Server 2019 und Subscription Edition derzeit manuelle Patches verfügbar sind, gab es für SharePoint Server 2016 zunächst keine direkte Lösung, sodass stattdessen allgemeine Gegenmaßnahmen zum Einsatz kamen. Microsoft hat seinen Hinweis inzwischen aktualisiert und einen speziellen Patch für SharePoint Server 2016 hinzugefügt. Zu den empfohlenen vorläufigen Maßnahmen zur Sicherung anfälliger Systeme gehören die Installation der neuesten Updates, die Verwendung von Microsoft Defender oder ähnlichen Sicherheitslösungen, die ordnungsgemäße Konfiguration der Antimalware-Scan-Schnittstelle (AMSI) und die Aktualisierung der ASP.NET-Maschinenschlüssel.

Sicherheitsforscher von Eye Security haben eine fortlaufende Ausnutzung entdeckt und gemeldet und dabei einen Malware-Übertragungsvektor namens „Toolshell“ beschrieben. Eine weltweite Untersuchung der Shadowserver Foundation identifizierte etwa 9.300 öffentlich zugängliche SharePoint-Server, von denen mindestens 85 in 54 verschiedenen Organisationen als kompromittiert bestätigt wurden.

Angreifer, die diese Schwachstelle ausnutzen, können die vollständige Kontrolle über die SharePoint-Serverumgebung erlangen, dauerhafte Backdoors installieren, die auch nach Neustarts und Updates bestehen bleiben, sensible Daten exfiltrieren und sich möglicherweise auf andere Netzwerkressourcen innerhalb der Windows-Domäne ausbreiten.

Betroffenen wird empfohlen, kompromittierte SharePoint-Instanzen sofort zu isolieren, die Passwörter für Administrator- und Dienstkonten zurückzusetzen, verfügbare Patches zu installieren und Cybersicherheitsspezialisten mit einer gründlichen Systemanalyse zu beauftragen. Sicherheitsforscher haben Indikatoren für Kompromittierung bereitgestellt, um Unternehmen bei der schnellen Identifizierung von Sicherheitsverletzungen zu unterstützen.

Quelle: Golem

Zero-Day-Sicherheitslücke betrifft weltweit Microsoft SharePoint-Server mit aktiver Ausnutzung

Welche SharePoint Server sind betroffen?

Die Gegenmaßnahmen

TIPP DES TAGES

Andere Artikel aus dieser Kategorie

Welche SharePoint Server sind betroffen?

Die Gegenmaßnahmen

TIPP DES TAGES

Andere Artikel aus dieser Kategorie

BLUFFS: 6 neue Angriffe auf Bluetooth-Verschlüsselung

Smart Cars: Datenkraken auf vier Rädern?

OpenSSL 3.2 erschienen mit QUIC-Unterstützung

Intel 20231114 Microcode-Update patcht viele Sicherheitslöcher

CacheWarp: Cache in AMD-Server-CPUs wird lesbar