Neuer Text

Aktuelle IT-Security-Probleme bei Microsoft SharePoint

5. August 2025
Bild-Quelle: Sharepoint-Sicherheitslücke - KI-Generiert

Aktuelle Sharepoint Schwachstellen - Sind Sie betroffen?

Aktuelle IT-Security-Probleme bei Microsoft SharePoint


Einleitung

Im Juli/August 2025 wurde eine kritische Angriffswelle auf on-premises SharePoint Server bekannt — zentrale Sicherheitslücken wurden aktiv von staatlich unterstützten Gruppen und Ransomware-Akteuren ausgenutzt. Hierbei wurde deutlich: Bei unzureichender Vorsorge droht neben Datenverlust der komplette Kontrollverlust über IT-Infrastruktur. Dieser Beitrag beleuchtet Hintergründe, technische Schwachstellen, Auswirkungen und konkrete Abhilfemaßnahmen.


Überblick: Was ist passiert?

Am 18. Juli 2025 begann eine Welle globaler Angriffe auf lokal betriebene SharePoint-Server mit dem Chaining von zwei zuvor gepatchten Schwachstellen (CVE-2025-49704 und CVE‑2025‑49706), bekannt unter dem Namen „ToolShell“.

Microsoft stellte am 19. Juli 2025 fest, dass die ursprünglichen Patches unvollständig waren: neue Varianten (CVE‑2025‑53770 und CVE‑2025‑53771) ermöglichten weiterhin Exploits.

Diese Zero-Day-Lücken ermöglichten es Angreifern, ohne gültige Anmeldung remote Code auszuführen, Machine Keys zu exfiltrieren und Systeme langfristig zu kompromittieren.


Technische Details der Schwachstellen

CVE‑2025‑49704 & CVE‑2025‑49706

Verantwortlich für Remote Code Execution (RCE bzw. Deserialisierung) und Authentifizierungs-Spoofing.


ToolShell (= Kombination von RCE + Spoofing)

Verbindung der beiden Schwachstellen ermöglicht unauthenticated, aber privilegierten Zugriff auf SharePoint-Systeme.


Neue Varianten als Patches-Bypass

CVE‑2025‑53770 (RCE-Bypass) und CVE‑2025‑53771 (Spoofing-Path‑Traversal) umgingen die ursprünglichen Patches.

Typisches Ablaufmuster: HTTP-POST an /ToolPane.aspx?DisplayMode=Edit mit manipuliertem Referer-Header, gefolgt von Upload eines .aspx Webshells und Auslesen von Validation- oder MachineKeys.


Betroffene Akteure / Angreifergruppen

Microsoft attribuierte die Attacken zwei chinesischen staatlich unterstützten Gruppen namens Linen Typhoon und Violet Typhoon, sowie der Gruppe Storm‑2603, welche zusätzlich Ransomware („Warlock“ und Lockbit) einsetzte.

Betroffen waren über 50 bis 400 Organisationen weltweit — darunter US-Regierungsbehörden wie das NNSA, Fermilab und weitere Einrichtungen in Gesundheits-, Finanz‑ und Bildungs‑Sektoren.


Auswirkungen & Risikoanalyse

Die Angriffe begannen initial als Cyber-Spionage, entwickelten sich aber schnell zu Ransomware-Operationen mit Massendatenverschlüsselung.

Da Angreifer cryptographische Schlüssel gestohlen haben, bleiben kompromittierte Systeme auch nach Patches gefährdet—ein Assume‑Compromise‑Ansatz ist deshalb essentiell.


Handlungsempfehlungen

Sofortmaßnahmen

  • Patches für SharePoint Server 2016, 2019 und Subscription Edition direkt installieren
  • ASP.NET-MachineKeys rotieren, IIS neu starten und ggf. betroffene Systeme vom Internet nehmen
  • AMSI aktivieren/konfigurieren und Defender Antivirus (oder äquivalent) auf allen SharePoint-Hosts implementieren
  • Einsatz von EDR/Endpoint Detection & Response zur Erkennung post‑exploitation Aktivitäten


Monitoring & Threat Hunting

  • Indicators of Compromise (IoCs) analysieren, Webshell-Dateien und Anomalien in Logdateien überwachen
  • Verwendung von Threat‑Hunting-Templates (z. B. AttackIQ, Palo Alto Cortex XDR) zur Validierung von Sicherheitskontrollen


Präventive Security-Hardening

  • Internet-exponierte SharePoint-Systeme nur mit WAF und Zero-Trust Network Access (ZTNA) betreiben und alte EOL-Versionen komplett vom Netz nehmen
  • Regelmäßige Rotationen von MachineKeys und Überprüfung der Konfiguration nach Sicherheits-Updates, um Patch-Bypass zu vermeiden


Lessons Learned & typische Schwachstellen

  • Unvollständige Patches verdeutlichen die Notwendigkeit für umfassende Patch-Überprüfung und Versionierung
  • Zu hohe Sichtbarkeit: Internet-exponierte Installation erhöht das Risiko erheblich — lokale Access Points sind entscheidende Schwachstellen
  • State-sponsored Threats sind persistent: Gruppen wie Linen Typhoon oder Storm‑2603 arbeiten langfristig und nutzen komplexe Tools
  • Cloud-Plattform SharePoint Online bleibt bislang unbetroffen, was einen Umstieg für hochkritische Umgebungen attraktiv macht


Fazit

Die aktuellen SharePoint-Vorfälle zeigen eindrücklich, wie schnell staatliche Akteure und Ransomware‑Gruppen eine nicht‑optimal gesicherte On‑Prem-Installation kompromittieren können. Die zentralen Schwachstellen CVE‑2025‑49704/69706 sowie deren Umgehungsvarianten CVE‑2025‑53770/53771 fordern ein sofortiges und konsequentes Sicherheitsmanagement. Patch-Management, Threat Hunting, Key-Rotation und moderne Schutzmaßnahmen wie AMSI, EDR und WAF sind essenziell. Ein Upgrade auf SharePoint Online kann eine strategische Alternative für besonders risikoaverse Umgebungen sein.


FAQ

Betrifft SharePoint Online den Angriff? Nein, der Vorfall betrifft ausschließlich on‑premises SharePoint Server, Microsoft 365 / SharePoint Online ist sicher.

Was ist ToolShell? Ein Exploitchain aus zwei Schwachstellen (Authentifizierungs-Spoofing + Remote Code Execution), die kombiniert vollen Zugriff auf SharePoint-Systeme ermöglichen.

Reicht ein Patch aus? Nein, allein Patches reichen nicht aus: Schlüssel müssen rotiert werden, AMSI/Antivirus aktiviert, Systeme isoliert und Forensik durchgeführt werden.

Welche Organisationen sind am stärksten gefährdet? Alle mit Internet-exponierten SharePoint-Instanzen – besonders Behörden, Kritische Infrastruktur, Wissenschaftsinstitutionen und Gesundheitsorganisationen.


Kurz und knapp

  • Kritische Exploits (ToolShell) wurden seit Mitte Juli 2025 aktiv genutzt
  • Betroffen: On-prem SharePoint Server (2016/2019/Subscription Edition), nicht SharePoint Online
  • Angreifer nutzen Machine-Key-Diebstahl, Auth-Bypass und Ransomware
  • Sofortige Patches, Key-Rotation, AMSI-Aktivierung und EDR sind unverzichtbar
  • Monitoring und Forensik sind erforderlich, um Tiefe der Kompromittierung zu erkennen


Exchange Sicherheitslücke

Microsoft Exchange akut gefährdet

8. August 2025
Einleitung Die Schwachstelle CVE 2025 53786 betrifft hybride Microsoft Exchange Umgebungen, in denen eine Verbindung zwischen On Premises Servern und Exchange Online besteht. Sie ermöglicht privilegierte Eskalation im Cloud Bereich, wenn bereits Admin Rechte im lokalen Exchange Server bestehen. Die Kombination aus technischer Komplexität und erheblicher Auswirkung unterstreicht die Dringlichkeit zur Behebung. Hintergrund und technische Analyse Natur der Schwachstelle Elevierung von Rechten (Elevation of Privilege, EoP) in hybriden Deployments: Ein Angreifer mit Administratorzugang zum lokalen Exchange Server kann diesen Zugriff nutzen, um binnen der verbundenen Cloud Umgebung weiterführende Privilegien zu erlangen – dank einer gemeinsam genutzten Service Principal Instanz für Exchange Server und Exchange Online. Microsoft bewertet diesen Vorgang als schwerwiegend, da er nahezu spurlos abläuft – es werden wenig bis keine Audit Spuren hinterlassen. CVSS 3.x Score: 8.0 (High Severity) – Netzwerkangriff möglich, gewisse Hürden (administrativer Zugang nötig), aber mit potenziell vollständiger Kompromittierung von Cloud Identitäten. Entdeckung und Timing Microsoft veröffentlichte am 6. August 2025 die Sicherheitsmeldung inklusive CVE und empfahl dringend die Umsetzung eines im April zuvor veröffentlichten Hotfixes. CISA folgte mit einem offiziellen Alert und ordnete am 7. August 2025 eine Emergency Directive (ED 25 02) an, die US Bundesbehörden verpflichtete, die notwendigen Maßnahmen bis Montag, den 11. August 2025, 09:00 AM ET umzusetzen. Bis dato liegen keine Hinweise auf aktive Exploits vor – jedoch stuft Microsoft den Angriffspfad als technisch realistisch ein („Exploitation More Likely“). Handlungsempfehlungen und technische Maßnahmen Sofortmaßnahmen April Hotfix installieren (auf Systemen mit Exchange 2016 CU23, Exchange 2019 CU14/CU15, oder Subscription Edition RTM) und danach die Health Checker Tools einsetzen zur Bestandsaufnahme. Dedicated Hybrid App implementieren: Ablösung der geteilten Service Principal Konfiguration durch eine dedizierte Exchange Hybrid App (PowerShell Script ConfigureExchangeHybridApplication.ps1 mit entsprechenden Parametern ausführen). Credentials bereinigen: Falls Hybrid OAuth oder -Hybrid früher eingerichtet und inzwischen nicht mehr genutzt wird, sind die keyCredentials der Shared Service Principal zurückzusetzen (ResetFirstPartyServicePrincipalKeyCredential). EOL Server vom Netz nehmen, z. B. Exchange oder SharePoint Server vor dem Ende des Supports, um unüberwachte Angriffsflächen zu minimieren. CISAHelp Net Security Strategische Planung Verlagerung auf Microsoft Graph API: Die Nutzung alter Exchange Web Services (EWS) wird schrittweise durch Graph basierte Architektur ersetzt – EWS wird temporär blockiert, finales Abschalten des Shared Principal erfolgt spätestens Ende Oktober 2025. Graph Permissions folgen bis Oktober 2026. Help Net Security Reale Herausforderungen in der Umsetzung In komplexen Hybrid Setups (z. B. bei dezentralen Standorten oder Public Cloud Verbindungen) gestaltet sich das koordinierte Upgrade samt Health Check und Konfigurationsänderung anspruchsvoll – besonders unter Zeitdruck wie bei der CISA Frist. Legacy Strukturen werden häufig nicht konsequent erfasst, sodass Unsicherheiten bezüglich EOL Servern bestehen. Ein fehlender dedizierter Hybrid App führt zu Ausfallrisiken, wenn Shared Principal blockiert wird. Awareness und interne Rollenzuweisung müssen sicherstellen, dass für Zugriff auf Entra ID die Rolle „Application Administrator“ vorhanden ist. Fazit CVE 2025 53786 stellt ein hohes Risiko für hybride Exchange Organisationen dar – trotz fehlender bekannter Exploits. Die Kombination aus hoher Effektivität, fehlender Auditierbarkeit und geschlossener Remote Verfügbarkeit macht zügiges Handeln erforderlich. Durch die bereitgestellten Fixes, Tools und Best Practices lässt sich die Gefahr im laufenden Betrieb erfolgreich vermindern. FAQ Was ist CVE-2025-53786? Eine erhöhte Privilegieneskalation im Exchange Hybrid¬Deployment – bei Wissensvorsprung reicht Adminzugang lokal, um Zugriff auf Exchange Online zu erlangen. Ist die Schwachstelle bereits aktiv ausgenutzt worden? Bis zum heutigen Tage sind keine aktiven Fälle bekannt, jedoch stuft Microsoft die Gefahr als „Exploitation More Likely“ ein. Welche Versionen sind betroffen? Betroffene Systeme umfassen Exchange 2016 CU23, Exchange 2019 CU14/CU15 und Subscription Edition RTM im Hybrid Betrieb. Welche Maßnahmen sind entscheidend? Hotfix installieren, Dedicated Hybrid App einsetzen, Credentials bereinigen, EOL-Server isolieren, Health Checker laufen lassen, Graph-Migration planen. 
NIS2 Bild - KI-generiert

NIS2 im Kontext des IT-Grundschutzes

4. August 2025
Unternehmensweite Verantwortung NIS2 nimmt explizit die Unternehmensleitung in die Pflicht. Diese muss sicherstellen, dass Cybersicherheitsmaßnahmen umgesetzt werden und trägt persönliche Verantwortung. Der IT-Grundschutz adressiert primär Fachabteilungen und IT-Verantwortliche.
Server im RZ - KI-generiert

IT-Grundschutz in der Praxis – Strategien für eine resiliente Informations-Sicherheit

2. August 2025
Warum ist IT-Grundschutz so wichtig? Informationssicherheit ist längst nicht mehr nur ein IT-Thema – sie ist Chefsache. Cyberangriffe, Datenverluste und regulatorische Verstöße können gravierende Folgen haben: von Betriebsunterbrechungen bis zu Bußgeldern und Reputationsschäden.