Ein bislang unbekannter Exploit hat weltweit für Aufsehen gesorgt: Eine kritische Schwachstelle in Microsofts SharePoint-Server wurde aktiv ausgenutzt, bevor überhaupt ein Patch zur Verfügung stand. Sicherheitsbehörden warnen vor massiven Risiken für Unternehmen und Verwaltungen – ein Szenario, das Fragen nach Cyber-Resilienz, Updatestrategien und Angriffserkennung aufwirft.
Ein Blick auf CVE‑2025‑53770: Eine der gefährlichsten Schwachstellen des Jahres
Die Zero-Day-Schwachstelle mit der Kennung CVE‑2025‑53770 betrifft lokal installierte Versionen von Microsoft SharePoint. Besonders alarmierend: Angreifer benötigen keine Authentifizierung, um Remote-Code auf dem Server auszuführen. Die Sicherheitslücke wurde mit einem CVSS-Score von 9.8 bewertet – der höchsten Risikokategorie unter Sicherheitsfachleuten.
Betroffen sind SharePoint Server Subscription Edition und SharePoint Server 2019 – beide haben mittlerweile Updates erhalten. Für SharePoint Server 2016 liegt zum aktuellen Zeitpunkt noch kein offizieller Patch vor. Wer die Cloud-Variante SharePoint Online nutzt, ist von dieser Schwachstelle nicht betroffen.
Wie funktioniert der Angriff?
Der Angriffsvektor nutzt eine unsichere Deserialisierung von Eingaben, die es einem Angreifer erlaubt, mit einem einzigen speziell präparierten Request Code auf dem Zielsystem auszuführen. Die Schwachstelle wurde von Sicherheitsexperten als Teil einer sogenannten „ToolShell“-Kette identifiziert – einer Angriffskette, bei der Webshells über manipulierte Anfragen eingeschleust werden.
Besonders brisant: Der Exploit zielt nicht nur auf kurzfristige Kontrolle ab, sondern kann kryptografische Schlüssel (ValidationKey und DecryptionKey) auslesen. Damit wäre es möglich, sich selbst nach einem erfolgreichen Patch dauerhaft Zugang zu verschaffen – ein Beispiel für einen sogenannten Persistenzangriff.
Welche Versionen sind konkret gefährdet?
- SharePoint Server Subscription Edition (bis Patch KB5002768)
- SharePoint Server 2019 (bis Patch KB5002754)
- SharePoint Server 2016 (noch ohne verfügbaren Patch)
Die Dimension des Angriffs: Wer ist betroffen?
Laut Sicherheitsanalysen wurden weltweit über 9.000 öffentlich erreichbare SharePoint-Server registriert. Zwar ist nicht jeder dieser Server automatisch verwundbar, doch erste Angriffsversuche lassen auf eine globale Welle schließen. Die Bedrohung betrifft nicht nur Unternehmen, sondern auch Hochschulen, Regierungsbehörden und kritische Infrastrukturen – darunter auch mindestens zwei Energieversorger in Spanien und Brasilien.
Die Schwachstelle wurde am 18. Juli erstmals in größerem Umfang ausgenutzt. Laut Sicherheitsunternehmen Eye Security konnten bereits Dutzende erfolgreiche Angriffe dokumentiert werden. Auch die US-amerikanische Cyberbehörde CISA hat die Lücke offiziell in ihr Verzeichnis der „Known Exploited Vulnerabilities“ aufgenommen – ein Zeichen für die Ernsthaftigkeit der Bedrohung.
Wie kann ich erkennen, ob mein SharePoint-Server betroffen ist?
Viele Administratoren fragen sich derzeit: „Wie erkenne ich, ob mein SharePoint-Server bereits kompromittiert ist?“ Die Antwort ist nicht immer einfach, da Angreifer sehr gezielt und oft spurlos vorgehen. Es gibt jedoch einige Indikatoren, auf die Sie achten sollten:
- Ungewöhnliche POST-Anfragen an
/_layouts/15/ToolPane.aspx?DisplayMode=Edit - Verdächtige Dateien wie
spinstall0.aspxauf dem Server - Neue oder manipulierte MachineKey-Konfigurationen in der
web.config - Unbekannte .NET-DLLs oder eigenartig benannte Prozesse im IIS
Warum ist diese Schwachstelle so gefährlich?
Die Schwachstelle ist aus mehreren Gründen hochkritisch:
- Keine Authentifizierung erforderlich: Angriffe können von außen erfolgen, ohne dass sich der Täter einloggen muss.
- Persistenz: Ist der Angriff erfolgreich, können MachineKeys entwendet werden – mit langfristigen Konsequenzen.
- Hohe Reichweite: SharePoint ist weltweit verbreitet – vor allem in Behörden und großen Organisationen.
- Komplexität der Erkennung: Viele Unternehmen wissen nicht, dass sie betroffen sind, da Logs manipuliert werden können.
Ein Nutzer aus dem Forum r/sharepoint schreibt treffend: „Wenn euer SharePoint öffentlich erreichbar ist und ihr nicht gepatcht habt, ist er kompromittiert. Punkt.“
Wie kann ich meinen SharePoint-Server absichern?
Eine häufige Nutzerfrage lautet: „Wie kann ich Angriffe effektiv verhindern oder erkennen?“ Die folgenden Maßnahmen gelten derzeit als Best Practice:
Technische Schutzmaßnahmen:
- Installation der offiziellen Microsoft-Patches (sofern verfügbar)
- Abschalten oder Isolieren von SharePoint Server 2016 bis zum Patch
- Aktivieren von Microsoft Defender mit AMSI-Integration
- Rotation aller ASP.NET MachineKeys
- Einsatz eines SIEM-Systems mit passender KQL-Abfrage
- Regelmäßige Protokollanalysen und Alarmierung bei verdächtigen Requests
Beispielhafte KQL-Abfrage für Defender:
DeviceNetworkEvents | where RemoteUrl contains "ToolPane.aspx" | where Protocol == "HTTPS" | where RequestMethod == "POST"
Was sagen Experten aus der IT-Community?
In Foren wie Reddit oder dem Microsoft-Tech-Forum herrscht Einigkeit: Dieser Exploit ist einer der gravierendsten Vorfälle im Microsoft-Ökosystem seit Exchange Hafnium 2021. Sicherheitsforscher und Threat-Intelligence-Teams tauschen sich aktiv über Tools, IOC-Listen und Abwehrmaßnahmen aus.
Ein Beitrag im Forum r/sysadmin bringt es auf den Punkt: „In Momenten wie diesen bin ich froh, dass meine Kunden zu SharePoint Online gewechselt sind – endlich mal ein Wochenende ohne Katastrophenmodus.“
Welche Gruppen könnten hinter den Angriffen stecken?
Auch wenn bislang keine offizielle Zuordnung erfolgt ist, diskutieren Experten mögliche Verbindungen zu bekannten APT-Gruppen wie Silk Typhoon oder Storm-0506. Diese Gruppen gelten als technisch versiert, ressourcenstark und auf langfristige Infiltration ausgelegt.
Interessant ist auch der Hinweis aus einem Threat-Intel-Kanal, dass Google Gemini (eine KI-gestützte Plattform) bei der Identifizierung der Angriffskette eine Rolle gespielt haben könnte. Dies verdeutlicht den wachsenden Einfluss von KI auf moderne Sicherheitsanalysen.
Gibt es bereits eine vollständige Lösung?
Diese Nutzerfrage ist besonders häufig: „Gibt es bereits einen Patch oder nur Workarounds?“ Der aktuelle Stand:
| SharePoint-Version | Status | Empfohlene Maßnahme |
|---|---|---|
| Subscription Edition | Patch verfügbar | KB5002768 installieren |
| SharePoint 2019 | Patch verfügbar | KB5002754 installieren |
| SharePoint 2016 | Kein Patch | Abschalten oder isolieren |
Wie viele Systeme sind konkret betroffen?
Auch diese Frage bewegt viele Leser: „Wie viele SharePoint-Server sind potenziell betroffen?“ Laut Shadowserver sind etwa 9.300 öffentlich erreichbare Instanzen online – allerdings sind nicht alle verwundbar. Angriffsversuche wurden bisher auf mehrere Dutzend Organisationen bestätigt. Die tatsächliche Dunkelziffer dürfte jedoch weitaus höher sein.
Was nun? Sicherheit beginnt mit Verantwortung
Der Fall CVE‑2025‑53770 zeigt eindrücklich, wie verwundbar selbst große, etablierte Systeme wie SharePoint sein können. Angriffe über Zero-Day-Schwachstellen kommen oft überraschend und erfordern ein Höchstmaß an Reaktionsgeschwindigkeit – sowohl technisch als auch organisatorisch.
Organisationen sollten die Ereignisse als Weckruf begreifen, ihre Update- und Sicherheitsstrategien zu überdenken. Der Wechsel auf Cloud-basierte Varianten kann ein Sicherheitsvorteil sein – bietet aber keine Garantie. Entscheidend ist, dass Teams proaktiv, informiert und mit den richtigen Werkzeugen ausgestattet handeln.
Auch wenn Microsoft mittlerweile erste Patches bereitgestellt hat, bleibt die Bedrohung bestehen – insbesondere durch persistente Backdoors, die nachträglich nicht mehr ohne weiteres erkannt werden. Entscheidend ist, jetzt nicht in Passivität zu verfallen, sondern systematisch zu prüfen, zu patchen und gegebenenfalls zu isolieren. Denn die nächste Schwachstelle wartet womöglich schon – die Frage ist nur: Sind Sie vorbereitet?
